Risque
Contournement de la politique de sécurité.
Systèmes affectés
- MySQL versions 5.1.x antérieures à 5.1.63 ;
- MySQL versions 5.5.x antérieures à 5.5.24 ;
- MariaDB versions 5.1.x antérieures à 5.1.62 ;
- MariaDB versions 5.2.x antérieures à 5.2.12 ;
- MariaDB versions 5.3.x antérieures à 5.3.6 ;
- MariaDB versions 5.5.x antérieures à 5.5.23.
Résumé
Une vulnérabilité a été corrigée dans MySQL et MariaDB. À condition de connaître un nom d'utilisateur valide, la vulnérabilité permet de s'authentifier, en utilisant un mot de passe incorrect, avec une chance sur 256 en moyenne. La vulnérabilité est due à une conversion de type incorrecte.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Notes de versions MySQL :
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-63.html
http://dev.mysql.com/doc/refman/5.5/en/news-5-5-24.html
- Site officiel de MariaDB :
http://mariadb.org
- Référence CVE CVE-2012-2122 :
https://www.cve.org/CVERecord?id=CVE-2012-2122