Une faille rend MySQL vulnérable aux attaques par force brute

Une faille dans le dispositif de gestion de mots de passe de MySQL et MariaDB peut permettre à un pirate d'accéder en quelques secondes aux deux bases de données.

La sonnette d'alarme a été tirée par le responsable de la sécurité de Rapid7, HD Moore. Une faille dans le mécanisme de gestion des mots de passe de MySQL et MariaDB pourrait permettre à un pirate de lancer une attaque par force brute. Grâce à cette méthode, il aurait potentiellement la possibilité d'accéder en quelques secondes aux données de connexion de l'administrateur.

Comme l'explique le coordinateur de la sécurité de MariaDB, Sergei Golubchik, la faille provient d'une erreur au moment de la vérification des mots de passe par la fonction memcmp. Une brèche qui contribue réduire à une chance sur 256 la possibilité d'accéder à n'importe quel mot de passe à partir d'un identifiant. Les versions supérieures à 5.1.61, 5.2.11, 5.3.5, et 5.5.22 de MariaDB et MySQL sont touchées par la faille.

Moore indique avoir analysé 1,74 million de serveurs MySQL, et identifié la faille dans 50% d'entre eux. Oracle a pris en compte le problème dans son paquet de correctifs pour le mois d'avril. Des correctifs séparés sont disponibles pour MariaDB et MySQL.



Serveurs / Faille