TOOLinux

Le journal du Libre

Failles critiques pour MySQL

jeudi 15 septembre 2016

Ce n’est pas moins de deux failles zero-day qui ont été découvertes dans plusieurs versions de MySQL, ainsi que MariaDB et PerconaDB. Alors que le chercheur Dawid Golunski a prévenu ces sociétés, seul Oracle n’a encore pas publié de correctif, 40 jours après cette découverte. Du coup, il décide d’annoncer cette découverte à la communauté afin qu’elle soit au courant des risques. Oracle se base sur un calendrier trimestriel pour publier ses mises à jour de sécurité, va-t-il falloir attendre octobre prochain pour pouvoir protéger ses bases de données ?

D’après le chercheur qui a publié quelques détails à ce sujet, l’utilisation de SELinux ou AppArmor ne suffirait pas à se protéger. L’une des failles permettrait, via injection MySQL, un accès au compte root de la machine.

Liens :

- L’annonce de Dawid Golunski
- Le correctif pour MariaDB