Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

MySQL : Faille de Sécurité et Deux Vulnérabilités

13/12/2007 06H44
Référence Secunia : SA28063 
Date de publication : 2007-12-12

Risque : Non Critique. Niveau 2 sur 5.
Impact : Manipulation de données, Elévation de privilèges, DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
MySQL 5.x

Référence CVE :
CVE-2007-6304


Description :
Une faille de sécurité et deux vulnérabilités ont été identifiées dans MySQL, qui pourraient être exploitées par des utilisateurs malicieux pour obtenir des privilèges plus élevés, manipuler certaines données, ou pour causer un Déni de Service (DoS).

1) Une faille de sécurité existe du fait de la commande "ALTER VIEW" retient the original "DEFINER" value, qui peut permettre à un autre utilisateur pour obtenir les droits d'accès du view.

2) Une erreur dans le FEDERATED engine lors du traitement de réponses de remote servers pourrait être exploitée pour planter le serveur local quand la réponse contient fewer columns que prévu.

3) Une erreur en renommant une table pourrait être exploitée par des utilisateurs malicieux à manipuler certaines données.


Solutions :
Mettre à jour pour MySQL Entreprise version 5.0.52 [MRU].


Vulnérabilité découverte par :

1) Martin Friebe
2) Philip Stoev
3) Rapportée par l'éditeur.

Référence :
http://dev.mysql.com/doc/refman/5.0/en/releasenotes-es-5-0-52.html


Autres références :

SA27981:
http://secunia.com/advisories/27981/




Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.