Avis du CERTA : Multiples vulnérabilités dans MySQL
février 2008 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance ;
* contournement de la politique de sécurité ;
* atteinte à l’intégrité des données ;
* atteinte à la confidentialité des données.
2 Systèmes affectés
MySQL 5.1.x.
3 Description
De nombreuses vulnérabilités présentes dans certaines versions de MySQL peuvent
être exploitées par un utilisateur distant malintentionné afin de contourner la
politique de sécurité, de porter atteinte à la confidentialité et/ou à
l’intégrité des données, de provoquer un déni de service ou d’exécuter du code
arbitraire.
4 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
5 Documentation
* Journal des modifications MySQL du 29 janvier 2008 :
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-23.html
* Bulletin de sécurité Debian DSA-1451 du 06 janvier 2008 :
http://www.debian.org/security/2008/DSA-1451
* Bulletin de sécurité Mandriva MDVSA-2007:243 du 10 décembre 2007 :
http://www.mandriva.com/en/security/advisories?name=MDVSA-2007:243
* Bulletin de sécurité Red Hat RHSA-2007:1155 du 18 décembre 2007 :
http://rhn.redhat.com/errata/RHSA-2007-1155.html
* Bulletin de sécurité Ubuntu USN-559-1 du 21 décembre 2007 :
http://www.ubuntu.com/usn/usn-559-1
* Bulletin de sécurité SuSE SUSE-SR:2008:003 du 07 février 2008 :
http://lists.opensuse.org/opensuse-security-announce/2008-02/msg00003.html
* Référence CVE CVE-2007-5969 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5969
* Référence CVE CVE-2007-5970 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5970
* Référence CVE CVE-2007-6313 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6313
* Référence CVE CVE-2008-0226 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0226
* Référence CVE CVE-2008-0227 :