Une faille dans MariaDB et MySQL
Une faille de sécurité, découverte début printemps 2012, frappe certaines versions des bases de données MariaDB et MySQL. Le problème se situe dans la gestion des mots de passe et plus précisément dans la vérification de celui-ci et du token généré (qui est comparé à la valeur attendue) lorsque l’utilisateur se connecte, comme le résume Sergei Golubchik, vice président Archietcture chez MariaDB. Il peut arriver que le token et la valeur attendue soient considérés comme égaux même si le memcmp() retourne une valeur non nulle.
Une faille de sécurité, découverte début printemps 2012, frappe certaines versions des bases de données MariaDB et MySQL. Le problème se situe dans la gestion des mots de passe et plus précisément dans la vérification de celui-ci et du token généré (qui est comparé à la valeur attendue) lorsque l’utilisateur se connecte, comme le résume Sergei Golubchik, vice président Archietcture chez MariaDB.
Il peut arriver que le token et la valeur attendue soient considérés comme égaux même si le memcmp() retourne une valeur non nulle. La base de donnée peut alors considérer que le mot de passe est correct même si ce n’est pas le cas. Sergei Golubchik conclut son explication : « parce que le protocole utilise des chaînes aléatoires, la probabilité de rencontrer ce bug est d'environ 1/256. » Malgré tout, il se veut rassurant. De nombreuses versions de MariaDB et MySQL ne sont pas vulnérables (MariaDB 5.1.62, 5.2.12, 5.3.6, 5.5.23, MYSQL 5.1.63, 5.5.24, 5.6.6). Les distributions officielles ne sont pas en cause. Des correctifs sont disponibles.
Pour en savoir plus :
L'annonce de Sergei Golubchik
Précision de H.D. Moore (Rapid7)