Publié par UnderNews Actu - Télécharger l'application Android

Le chercheur Dawid Golunski a signalé deux vulnérabilités 0-Day jugées critiques au sein de MySQL. Oracle n’a pas encore corrigé officiellement les failles et celles-ci peuvent mener à la compromission d’un serveur, notamment via une simple injection SQL.

MySQL est tellement populaire et répandue qu’un 0-Day critique dans la nature pourrait rapidement tourner à la catastrophe pour des milliers de serveurs et donc, mener à l’exposition de millions de bases de données contenant des informations critiques d’internautes.

Pourtant, c’est bien ce qui est en train de se passer, le chercheur polonais Dawid Golunski ayant révélé deux failles critiques touchant MySQL (la première étant accompagnée d’un descriptif technique complet et d’une méthode d’exploitation). Notons que la plus dangereuse des deux, répertoriée sous la référence CVE-2016-6662 (Remote Root Code Execution / Privilege Escalation), a été signalée à Oracle à la mi-juillet mais sans aucune réaction, sauf il y a quelques jours (patch pour MySQL 5.5.52, 5.6.33 et 5.7.15). MariaDB et PerconaDB ont déployé des correctifs de leurs côtés.

HMA Pro VPN

« Une exploitation réussie permettrait à un attaquant d’exécuter du code arbitraire avec les privilèges root, ce qui lui permettrait de compromettre entièrement le serveur » détaille l’expert.

Le niveau de dangerosité augmente considérablement lorsque l’on apprend que la faille peut être exploitée localement ou à distance, autant via un accès avec authentification ou une injection SQL, même avec les modules SELinux et AppArmor installés. Toutes les versions de MySQL « en configuration par défaut » sont touchées (5.7, 5.6 et 5.5). Cette vulnérabilité permettrait d’outrepasser un correctif mis en place il y a 13 ans, destiné à bloquer un problème similaire.

Il a également révélé l’existence d’une seconde vulnérabilité, qu’il n’a pas encore détaillée :

« Il est à noter que des attaquants peuvent utiliser l’une des autres failles découvertes par l’auteur de ce bulletin, auquel a été assigné l’identifiant CVE CVE-2016-6663 et est en attente de publication. Cette faille facilite la création d’un fichier /var/lib/mysql/my.cnf au contenu arbitraire, sans besoin du privilège FILE » explique le chercheur. En clair, l’exploitation de la première faille pourrait devenir triviale.

Contacté par Threatpost, Oracle n’a pas souhaité commenter la nouvelle et visiblement, il faudra encore patienter jusqu’au mois prochain pour espérer voir apparaître un correctif officiel pour les deux vulnérabilités découvertes.

 

Source : NextInpact

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , , , ,


Vos réactions