Vulnérabilité dans MySQL

Gestion du document

Référence	CERTA-2006-AVI-231-001
Titre	Vulnérabilité dans MySQL
Date de la première version	08 juin 2006
Date de la dernière version	12 juin 2006
Source(s)	Bulletins de sécurité MySQL du 24 mai 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Atteinte à l'intégrité des données.

Systèmes affectés

MySQL versions 4.1.19 et antérieures ;
MySQL versions 5.0.21 et antérieures.

Description

Une vulnérabilité a été découverte dans le traitement de certaines requêtes SQL par le serveur MySQL. L'exploitation de cette vulnérabilité permet, sous certaines conditions, l'injection de commandes SQL.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Pour la branche 5.1.x, cette vulnérabilité sera corrigée dans la version 5.1.11.

Documentation

Bulletin de sécurité MySQL 4.1.20 :

http://dev.mysql.com/doc/refman/4.1/en/news-4-1-20.html

Bulletin de sécurité MySQL 5.0.22 :

http://dev.mysql.com/doc/connector/j/en/news-5-0-22.html

Bulletin de sécurité MySQL 5.1.11 :

http://dev.mysql.com/doc/refman/5.1/en/news-5-1-11.html

Bulletin de sécurité Mandriva MDKSA-2006:097 du 08 juin 2006 :

http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:097

Bulletin de sécurité RedHat RHSA-2006:0544 du 09 juin 2006 :
```
https://rhn.redhat.com/errata/RHSA-2006-0544.html
```
Bulletin de sécurité Debian DSA-1092 du 08 juin 2006 :
```
http://www.debian.org/security/2006/dsa-1092
```
Bulletin de sécurité Gentoo GLSA 200606-13 du 11 juin 2006 :
```
http://www.gentoo.org/security/en/glsa/glsa-200606-13.xml
```

Référence CVE CVE-2006-2753 :

https://www.cve.org/CVERecord?id=CVE-2006-2753

Gestion détaillée du document

le 08 juin 2006: version initiale.

le 12 juin 2006: ajout des références aux bulletins de sécurité RedHat, Debian et Gentoo.

Avis du CERT-FR

Objet: Vulnérabilité dans MySQL