Exclusivité UnderNews : Aujourd’hui, un internaute Français souhaitant garder l’anonymat à trouvé deux failles de type injection SQL dans les sites des sociétés Oracle et Asus.
Cela fait exactement une semaine (dimanche dernier) que les failles concernant les sites MySQL.com et Sun.com ont été annoncées. Mais la loi des séries oblige, ce n’est pas fini ! Preuve en est ci dessous…
Pour Oracle, la faille se situe dans l’espace “Oracle Labs” accessible à cette adresse. Une faille qui permet au pirate d’accéder à la totalité des ba&ses de données. Voici la preuve qu’il nous a communiqué :
URL : http://labs.oracle.com/***/********************
Host IP: 192.9.152.64
Web Server: Apache
Powered-by: PHP/5.2.9
DB Server: MySQL >=5
Data Bases:
information_schema
archivist
darkstar
darkstar_1_0
darkstar_metrics
darkstardownloads
devdarkstar
devwonderland
downloads
dsmetrics
export_ctrl
forums
jgoforums
joomlatest
mysql
navmap_suncom
news
newsdb
omc2006
omcforums
openhouse2005
openhouse2006
patents
people
publications
seclab
spaughts
spiders
spots
sunspot_joomla
technicalreport
test
testing
webtemplate
webtemplate_bkup
wonderland
Vous allez me dire que cela est déjà bien beau ! Mais ce n’est pas fini !
En effet, passons maintenant à Asus… Là encore, c’est une faille SQL qui a permis au pirate de s’introduire. La vulnérabilité se situe dans l’espace “ASUS eStore” du site Américain (accessible via cette adresse).
Voici les preuves fournies par le hacker :
URL : http://us.estore.asus.com/******************
Host IP: 64.1.209.43
Web Server: Apache/2.2.17 (Win32) mod_ssl/2.2.17 OpenSSL/1.0.0a PHP/5.2.12
Powered-by: PHP/5.2.12
DB Server: MySQL >=5
Data Bases:
information_schema
asusphotohunt
asusvaaci
mysql
nextfusi_asusphotohunt
sunshop
test
test1
vforum
Les deux sociétés ont été prévenues dès le début de matinée et nous attendons leurs réponses. En tout cas, on peut dire que ça craint…