Nmedia - Fotolia
MySQL : une faille critique dont la pleine correction pourrait attendre
Un chercheur vient de publier les détails d’une faille critique affectant plusieurs versions de MySQL. MariaDB et PerconaDB ont corrigé. Oracle a publié un correctif au moins partiel.
Le chercheur Dawid Golunski vient de publier les détails d’une vulnérabilité critique affectant les versions 5.7.15, 5.6.33 et 5.5.52 de MySQL, ainsi que MariaDB et PerconaDB. Et d’explique que celle-ci « peut permettre à des attaquants d’injecter à distance des réglages malicieux dans les fichiers de configuration » du système de gestion de bases de données. Jusqu’à ouvrir la voie à « l’exécution de code arbitraire avec les privilèges root » et laisser le champ libre aux attaquants pour « compromettre pleinement le serveur sur lequel fonctionne la version affectée de MySQL ».
Dawid Golunski précise au passage que « la vulnérabilité peut être exploitée même si les modules de sécurité SELinux et AppArmor sont installées avec les politiques par défaut pour le service MySQL sur les principales distributions Linux ».
Un correctif est disponible pour MariaDB depuis début août. Percona propose également une rustine. Mais rien, pour l’heure, du côté d’Oracle, pourtant informé fin juillet. Alors après 40 jours d’attente, le chercheur a décidé de rendre publiques ses découvertes « pour informer les utilisateurs des risques » avant que l’éditeur ne rende public son prochain train de correctifs. Ce dernier est attendu pour la fin octobre.
En attendant, aucune contre-mesure n’est officiellement proposée. Mais Dawid Golunski recommande de s’assurer que l’utilisateur mysql n’est propriétaire d’aucun fichier de configuration, et de créer de faux fichiers de configuration non utilisés, propriétés de l’utilisateur root. Toutefois, ces dispositions « ne constituent pas une solution complète et les utilisateurs devraient appliquer les correctifs officiels dès qu’ils seront disponibles ».
[Mise à jour 16 septembre 2016] Contrairement à ce que peuvent laisser penser les notes de divulgation de Dawid Golunski, Oracle ne semble pas être resté les bras croisés. Les versions 5.7.15, 5.6.33 et 5.5.52 de MySQL embarquent ainsi des correctifs pour la vulnérabilité CVE-2016-6662. Mais comme l’explique Daniël van Eeden, dans un billet de blog, ceux-ci s’avèrent pour l’heure partiels.