Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : MySQL, modification des tables

septembre 2008 par Vigil@nce

SYNTHÈSE

Un attaquant local peut employer DATA DIRECTORY et INDEX DIRECTORY pour modifier les tables de la base.

Gravité : 2/4

Conséquences : création/modification de données

Provenance : shell utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : sources multiples (3/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 16/09/2008

Référence : VIGILANCE-VUL-8109

PRODUITS CONCERNÉS

 MySQL [versions confidentielles]
 MySQL Community Server [versions confidentielles]
 MySQL Enterprise Server [versions confidentielles]

DESCRIPTION

Les options DATA DIRECTORY et INDEX DIRECTORY indiquent où se
situent les fichiers de données et les index d’une table. Un
attaquant peut les employer pour accéder aux tables portant le
même nom. Cette vulnérabilité porte la référence CVE-2008-2079
(VIGILANCE-VUL-7804 (https://vigilance.aql.fr/arbre/1/7804),
VIGILANCE-VUL-7803 (https://vigilance.aql.fr/arbre/1/7803),
VIGILANCE-VUL-7802 (https://vigilance.aql.fr/arbre/1/7802)).

Cette vulnérabilité a été corrigée. Cependant, les correctifs
étaient incorrects :

 le correctif officiel peut être contourné à l’aide de liens symboliques (CVE-2008-4098)
 le correctif Debian peut être contourné en modifiant le chemin
(CVE-2008-4097)

Un attaquant local peut donc toujours employer DATA DIRECTORY et
INDEX DIRECTORY pour modifier les tables de la base.

CARACTÉRISTIQUES

Références : 32167, CVE-2008-2079, CVE-2008-4097, CVE-2008-4098, VIGILANCE-VUL-8109

https://vigilance.aql.fr/arbre/1/8109


Voir les articles précédents

    

Voir les articles suivants