Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

MySQL, version 4.1.23 et antérieures.

Résumé

Plusieurs vulnérabilités affectent les versions 4.x du gestionnaire de base de données MySQL. En particulier, certaines d'entre elles permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

De nombreuses vulnérabilités affectent la branche 4 de MySQL.

La création de tables MyISAM avec certaines options permet d'écraser des tables existantes.

Le renommage utilisé avec certains paramètres permet la réécriture de tables système.

Des erreurs provoquent des débordements de mémoire ou de pile ou des violations de la segmentation de la mémoire. Dans certains cas l'exploitation permet à un utilisateur d'exécuter du code arbitraire à distance.

Certaines erreurs permettent de provoquer un arrêt inopiné (crash) du serveur. L'utilisation d'un paquet d'authentification malformé permet de provoquer cet arrêt à distance.

Certaines erreurs conduisent à des insertions dans les affichages ou à la corruption de tables.

Solution

La version 4.1.24 corrige ces problèmes. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).



Note : la branche 4 du logiciel MySQL n'est plus maintenue (cf. section Documentation). Il est recommandé de migrer vers la branche 5 de ce logiciel.

Documentation