S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 mai 2006
N° CERTA-2006-AVI-182-004
Affaire suivie par: CERT-FR
le 04 mai 2006

Avis du CERT-FR

Objet: Mutliples vulnérabilités sur MySQL

Gestion du document

Référence CERTA-2006-AVI-182-004
Titre Mutliples vulnérabilités sur MySQL
Date de la première version 04 mai 2006
Date de la dernière version 28 juin 2006
Source(s) Bulletins de sécurité MySQL
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • MySQL 4.x ;
  • MySQL 5.x.

Résumé

Plusieurs vulnérabilités sont présentes dans MySQL. Ces vulnérabilités peuvent être exploitées par un utilisateur mal intentionné pour porter atteinte à l'intégrité des données ou exécuter du code arbitraire à distance.

Description

Deux vulnérabilités sont présentes dans le code traitant les paquets malformés COM_TABLE_DUMP peuvent être utilisée par un utilisateur déjà authentifié pour porter atteinte à l'intégrité des données ou pour exécuter du code arbitraire.

Une vulnérabilité dans le traitement des identifications invalides peut être exploitée par un utilisateur mal intentionné pour porter atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 04 mai 2006
    version initiale ;
    le 16 mai 2006
    ajout des références CVE et de la référence au bulletin de sécurité Mandriva ;
    le 24 mai 2006
    ajout des références aux bulletins de sécurité Debian.
    le 08 juin 2006
    ajout des références aux bulletins de sécurité Gentoo, Debian et SUSE.
    le 28 juin 2006
    ajout de la référence au bulletin de sécurité SUSE.