S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 octobre 2010
N° CERTA-2010-AVI-469
Affaire suivie par: CERT-FR
le 05 octobre 2010

Avis du CERT-FR

Objet: Vulnérabilités dans MySQL

Gestion du document

Référence CERTA-2010-AVI-469
Titre Vulnérabilités dans MySQL
Date de la première version 05 octobre 2010
Date de la dernière version 05 octobre 2010
Source(s) Bulletins des versions 5.1.51 et 5.5.6 de MySQL
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance ;
  • atteinte à l'intégrité des données.

Systèmes affectés

MySQL versions 5.1.x et 5.5.x.

Résumé

Plusieurs vulnérabilités dans MySQL permettent à un utilisateur malveillant de provoquer un déni de service à distance ou de porter atteinte à l'intégrité des données.

Description

Dans certaines configurations de bases répliquées en mode maître-esclave, une requête d'un utilisateur peut être exécutée sur la base maître, mais pas sur la base esclave, et provoquer une incohérence dans les données.

Plusieurs vulnérabilités dans l'évaluation de requêtes SQL permettent à un utilisateur malveillant de provoquer un déni de service à distance, par arrêt inopiné du serveur ou par création d'une boucle infinie.

Solution

Les versions 5.1.51 et 5.5.6 de MySQL résolvent ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 05 octobre 2010
    version initiale.