Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

vulnérabilité de sécurité dans MySQL 5.1.61 à, 5.2.11, 5. / MariaDB sql / password.c

planetesport
 Share

Messages recommandés

planetesport Newbie

planetesport

Posté(e)
Posté(e)

salam alikoum

 

vulnérabilité de sécurité dans MySQL 5.1.61 à, 5.2.11, 5. / MariaDB sql / password.c

 

solution : http://jerais.com/plug/2012/06/mysql-security-vulnerability/

 

traduction google

 

La vulnérabilité de sécurité dans MySQL / MariaDB sql / password.c

De : Sergei Golubchik Date de : Sat, 9 juin 2012 17:30:38 0200

 

Salut

 

Nous avons récemment découvert un bogue de sécurité sérieux dans MariaDB et de MySQL.

Donc, ici, nous aimerions vous faire connaître ce que la question et son impact

est. A la fin vous pouvez trouver un patch, au cas où vous avez besoin de patcher une ancienne

unsuported MySQL version.

 

Tout MariaDB et les versions de MySQL 5.1.61 à, 5.2.11, 5.3.5, 5.5.22 sont

vulnérables.

Versions de MariaDB 5.1.62, 5.2.12, 5.3.6, 5.5.23 ne sont pas.

Versions de MySQL de 5.1.63, 5.5.24, 5.6.6 ne sont pas.

 

Cette question m'a attribué un identifiant CVE-2012-2122.

 

Voici la question. Quand un utilisateur se connecte à MariaDB / MySQL, un jeton (SHA

plus un mot de passe et une chaîne aléatoire de brouillage) est calculée et comparée

avec la valeur attendue. En raison de la coulée incorrecte, il pourrait avez

arrivé que le jeton et la valeur attendue ont été considérés comme égaux,

même si le memcmp () retourné une valeur non nulle. Dans ce cas,

MySQL / MariaDB pourrait penser que le mot de passe est correct, même s'il est

pas. Parce que le protocole utilise des chaînes aléatoires, la probabilité de

frapper ce bug est d'environ 1/256.

 

Ce qui signifie, si l'on sait un nom d'utilisateur pour se connecter (et "root" presque

existe toujours), elle peut se connecter en utilisant un mot de passe * * en répétant

tentatives de connexion. ~ 300 tentatives ne prend qu'une fraction de seconde, de sorte

essentiellement la protection mot de passe est aussi bon que inexistant.

Tout client fera, il n'y a pas besoin d'une bibliothèque spéciale libmysqlclient.

 

Mais pratiquement il vaut mieux qu'il n'y paraît - de nombreux MySQL / MariaDB construit

ne sont pas affectés par ce bug.

 

Que ce soit une construction particulière de MySQL ou MariaDB est vulnérable, dépend de

comment et où il a été construit. Un préalable est un memcmp () qui peut renvoyer

un nombre entier arbitraire (en dehors de -128 .. 127 plage). Pour ma gcc connaissances

builtin memcmp est sûr, memcmp libc BSD est sûr. Glibc sous Linux

sse-optimisé memcmp n'est pas sûr, mais gcc utilise généralement le inline

la version builtin.

 

Pour autant que je sais, fournisseur officiel de MySQL et MariaDB binaires ne sont pas

vulnérables.

 

Cordialement,

Sergei Golubchik

MariaDB coordonnateur de la sécurité

 

source ...

  • Like 1
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets

  • Messages

    • gardien
      Aides et Solutions aux problèmes généraux de IPTV

      Par gardien · Posté(e)

      Merci, Laliche, je vais creuser ca.   Désolé MichelDz, je n'avais pas vu ton message, j'étais justement en train de ziotter sur google, comment fonctionne tout ca, avant de te répondre    Tu fournis une appli toi, ou je dois passer par celle que tu proposes ? 
    • michelDZ
      Aides et Solutions aux problèmes généraux de IPTV

      Par michelDZ · Posté(e)

      slt je t ai donner les applications qui tourne sous Windows à installer,  il a aussi suivant l abonnement que tu as les applications perso des team ,qui te l'a fournisse 
    • laliche
      Augmentation de débit et baisse des prix, rumeurs ou réalité (juste pour discuter)

      Par laliche · Posté(e)

      Concernant les abonnés à l'offre 10 MBps (cable de cuivre) seuls ceux qui ont VDSL sont concernés , sinon les abonnés ADSL à cette offre ne sont pas concernés . D'ailleurs même techniquement ils ne peuvent pas atteindre 50 MBps sauf si on installe un DSLAM tout près de chez eux
    • Lyès
      Augmentation de débit et baisse des prix, rumeurs ou réalité (juste pour discuter)

      Par Lyès · Posté(e)

      À partir du premier jour d’Aïd El Fitr El Moubarek, nos abonnés résidentiels à internet ADSL, VDSL et Fibre bénéficient d’une augmentation significative de leur débit Internet, comme suit : Les clients « Idoom Fibre » bénéficient d’une augmentation de débit internet : passant de 10 Mbps à 50 Mbps, de 20 Mbps à 200 Mbps, de 50 Mbps à 300 Mbps, de 100 Mbps à 500 Mbps, de 200 Mbps à 500 Mbps, et enfin de 300 Mbps à 500 Mbps.   Pour les clients « Idoom ADSL et VDSL », leur débit sera également amélioré, passant de 15 Mbps à 20 Mbps. Source: https://www.algerietelecom.dz/fr/espace-presse/algerie-telecom-augmente-le-debit-internet-de-ses-clients-pour-une-duree-dun-01-mois-art4520
    • laliche
      Aides et Solutions aux problèmes généraux de IPTV

      Par laliche · Posté(e)

      Windows 11 prend en charge nativement les applications d'Android. Virtualbox protège l'ordinateur en créant un environnement isolé du système principal de l'ordinateur et utilise n'importe quelle image iso de n'importe quel système sans dual boot à qui tu peux accorder la quantité de Ram et de stockage selon ta volonté (Windows,Android, Linux, ou autre) tandis qu'un émulateur n'est qu'un logiciel vulnérable aux infections et qui  permet d'installer un nombre réduit d'applications.
×
×
  • Créer...