Alerte sécurité – Bypass d’authentification possible pour MySQL

1

Un bug de sécurité sérieux découvert dans MySQL. Une personne malveillante peut aisément outrepasser l’authentification.

La faille de sécurité vise l’ensemble des versions de MariaDB et les versions 5.1.61, 5.2.11, 5.3.5 et 5.5.22 de MySQL . Une faille qui est référencée sous l’alerte CVE-2012-2122.

Le module de Mysql_hashdump de Metasploit utilise un nom d’utilisateur et un mot de passe connu pour accéder à la table de l’utilisateur principal d’un serveur MySQL. Il ne reste ensuite qu’à cracker le mot de passe pour l’avoir en clair. Plusieurs exploits ont déjà été diffusés sur la Toile.

Pour le moment, la meilleure chose à faire est d’ouvrir et de modifier le contenu du fichier my.cnf. Mission, restreindre l’accès au système local. Trouvez la section intitulée [mysqld] et changez le paramètre “bind-address” en “127.0.0.1”.

La faille a été corrigée sur la plupart des dépôts Linux. Webmasters, pensez à mettre à jour vos serveurs !

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.