MySQL : Un chercheur publie deux failles 0day « critiques »

0
243

Un chercheur en sécurité du nom de Dawid Golunski – qui se présente comme un hacker éthique – divulgue une vulnérabilité de sécurité critique affectant la base de données MySQL, de même que ses forks communautaires parmi lesquels MariaDB.

Le chercheur polonais Dawid Golunski a révélé deux failles dans MySQL, dont l’une détaillée avec une méthode d’exploitation. La principale, CVE-2016-6662, a été signalée à Oracle il y a plus de 40 jours, sans réaction du géant du logiciel. Jugées critiques, ces deux vulnérabilités peuvent avoir des conséquences très fâcheuses.

Accéder aux privilèges root, via une injection SQL

« Une exploitation réussie [de la vulnérabilité CVE-2016-6662] permettrait à un attaquant d’exécuter du code arbitraire avec les privilèges root, ce qui lui permettrait de compromettre entièrement le serveur » détaille l’expert. Elle peut être exploitée localement ou à distance, autant via une accès avec authentification ou une injection SQL, même avec les modules SELinux et AppArmor installés. Toutes les versions de MySQL « en configuration par défaut» sont touchées (5.7, 5.6 et 5.5). Cette vulnérabilité permettrait d’outrepasser un correctif mis en place il y a 13 ans, destiné à bloquer un problème similaire.

Il a également révélé l’existence d’une seconde vulnérabilité, qu’il n’a pas encore détaillée. « Il est à noter que des attaquants peuvent utiliser l’une des autres failles découvertes par l’auteur de ce bulletin, auquel a été assigné l’identifiant CVE CVE-2016-6663 et est en attente de publication. Cette faille facilite la création d’un fichier /var/lib/mysql/my.cnf au contenu arbitraire, sans besoin du privilège FILE » explique le chercheur. En clair, l’exploitation de la première faille pourrait devenir triviale.

Le correctif pour Mysql n’est pas encore disponible

Pour MariaDB et Percona DB, la vulnérabilité CVE-2016-6662 a été corrigée. Ce n’est par contre pas encore le cas pour MySQL, sachant que la prochaine fournée trimestrielle de mises à jour de sécurité d’Oracle est programmée pour le 18 octobre. Au crédit de Dawid Golunski, il publie une preuve de concept limitée.

Preuve du concept : https://www.exploit-db.com/exploits/40360/

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here