Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

vulnérabilité de sécurité dans MySQL 5.1.61 à, 5.2.11, 5. / MariaDB sql / password.c

planetesport
 Share

Messages recommandés

planetesport Newbie

planetesport

Posté(e)
Posté(e)

salam alikoum

 

vulnérabilité de sécurité dans MySQL 5.1.61 à, 5.2.11, 5. / MariaDB sql / password.c

 

solution : http://jerais.com/plug/2012/06/mysql-security-vulnerability/

 

traduction google

 

La vulnérabilité de sécurité dans MySQL / MariaDB sql / password.c

De : Sergei Golubchik Date de : Sat, 9 juin 2012 17:30:38 0200

 

Salut

 

Nous avons récemment découvert un bogue de sécurité sérieux dans MariaDB et de MySQL.

Donc, ici, nous aimerions vous faire connaître ce que la question et son impact

est. A la fin vous pouvez trouver un patch, au cas où vous avez besoin de patcher une ancienne

unsuported MySQL version.

 

Tout MariaDB et les versions de MySQL 5.1.61 à, 5.2.11, 5.3.5, 5.5.22 sont

vulnérables.

Versions de MariaDB 5.1.62, 5.2.12, 5.3.6, 5.5.23 ne sont pas.

Versions de MySQL de 5.1.63, 5.5.24, 5.6.6 ne sont pas.

 

Cette question m'a attribué un identifiant CVE-2012-2122.

 

Voici la question. Quand un utilisateur se connecte à MariaDB / MySQL, un jeton (SHA

plus un mot de passe et une chaîne aléatoire de brouillage) est calculée et comparée

avec la valeur attendue. En raison de la coulée incorrecte, il pourrait avez

arrivé que le jeton et la valeur attendue ont été considérés comme égaux,

même si le memcmp () retourné une valeur non nulle. Dans ce cas,

MySQL / MariaDB pourrait penser que le mot de passe est correct, même s'il est

pas. Parce que le protocole utilise des chaînes aléatoires, la probabilité de

frapper ce bug est d'environ 1/256.

 

Ce qui signifie, si l'on sait un nom d'utilisateur pour se connecter (et "root" presque

existe toujours), elle peut se connecter en utilisant un mot de passe * * en répétant

tentatives de connexion. ~ 300 tentatives ne prend qu'une fraction de seconde, de sorte

essentiellement la protection mot de passe est aussi bon que inexistant.

Tout client fera, il n'y a pas besoin d'une bibliothèque spéciale libmysqlclient.

 

Mais pratiquement il vaut mieux qu'il n'y paraît - de nombreux MySQL / MariaDB construit

ne sont pas affectés par ce bug.

 

Que ce soit une construction particulière de MySQL ou MariaDB est vulnérable, dépend de

comment et où il a été construit. Un préalable est un memcmp () qui peut renvoyer

un nombre entier arbitraire (en dehors de -128 .. 127 plage). Pour ma gcc connaissances

builtin memcmp est sûr, memcmp libc BSD est sûr. Glibc sous Linux

sse-optimisé memcmp n'est pas sûr, mais gcc utilise généralement le inline

la version builtin.

 

Pour autant que je sais, fournisseur officiel de MySQL et MariaDB binaires ne sont pas

vulnérables.

 

Cordialement,

Sergei Golubchik

MariaDB coordonnateur de la sécurité

 

source ...

  • Like 1
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets

  • Messages

    • alexidz1
      Problème de ping en FTTH

      Par alexidz1 · Posté(e)

      Salem tout le monde, Je voudrait votre aide pour un problème récent sur ma ligne de fibre. Il y a un mois mon ping vers les serveurs européens était entre 29 et 35 (paris), preuve de ceci en speedtest: Depuis une semaine, le ping a augmenté pour ne plus retomber en dessous de 52 sur paris jusqu'à 90 vers londres. J'ai essayé de redémarrer le modem, d'utiliser un câble Ethernet, rien ne fait. Tous les serveurs européens ont une latence augmentée. Mon voisin sur le même PBO n'a pas mon problème et joue toujours 20 de ping de moins que moi, et ce n'est non plus un problème d'installation car ce problème est récent. Je voudrais savoir grâce a votre aide où est le soucis et comment le régler. Merci d'avance.
    • Lyès
      Idoom Fibre 1.2 Gbps

      Par Lyès · Posté(e)

      Je viens de créer un nouveau thread expliquant les différents débits réels typiques par technologie et par bande de fréquence :   Pour répondre à ta question : Apple est très en retard par rapport aux autres fabricants avec les technologies WiFi, ton iPad 10 est limité à du Wi-Fi 6 avec une connexion double bande avec prise en charge MIMO et canaux jusqu’à 80 MHz, le débit max que tu pourrais obtenir est donc entre 600 à 900 Mbps.
    • Lyès
      Récapitulatifs des débits réels typiques des technologies Wi-Fi 4, 5, 6, 6E et 7

      Par Lyès · Posté(e)

      Bonjour, Avec le nombre important de technologies wifi et leur propres spécificités, beaucoup sont perdus et ne savent pas à quel débit s'attendre, voici un tableau récapitulatif montrant les débits réels typiques constaté avec chaque technologie : Débits réels typiques constatés : +--------------------+-------------------+-------------------+-------------------+-------------------+ | Norme Wi-Fi | Bande de fréquence| Largeur de canal | Débit réel typique| Flux spatiaux typ.| +--------------------+-------------------+-------------------+-------------------+-------------------+ | 802.11n (Wi-Fi 4) | 2,4 GHz | 20 MHz | 40 – 70 Mbit/s | 1-2 | | 802.11n (Wi-Fi 4) | 5 GHz | 40 MHz | 70 – 150 Mbit/s | 1-2 | | 802.11ac (Wi-Fi 5) | 5 GHz | 80 MHz | 200 – 400 Mbit/s | 2 | | 802.11ac (Wi-Fi 5) | 5 GHz | 160 MHz | 400 – 600 Mbit/s | 2-4 | | 802.11ax (Wi-Fi 6) | 2,4 GHz | 40 MHz | 80 – 200 Mbit/s | 2 | | 802.11ax (Wi-Fi 6) | 5 GHz | 80 MHz | 300 – 600 Mbit/s | 2 | | 802.11ax (Wi-Fi 6) | 5 GHz | 160 MHz | 600 – 900 Mbit/s | 2-4 | | 802.11ax (Wi-Fi 6E)| 6 GHz | 160 MHz | 700 – 1200 Mbit/s | 2-4 | | 802.11be (Wi-Fi 7) | 6 GHz | 320 MHz | 1000 – 3000 Mbit/s| 2-4 (estimation) | +--------------------+-------------------+-------------------+-------------------+-------------------+ N'hésitez pas à compléter ce thread si nécéssaire. NOTE:  Les débits indiqués sont des valeurs réelles typiques (et non les débits théoriques maximums), ce qui est cohérent avec la réalité du terrain.
    • genio
      Paiement électronique : lancement officiel

      Par genio · Posté(e)

      Pour les algeriens a l'etranger, meme si ca arrive trop tard....c'est mieux que rien : Le ministère de la Justice a annoncé aujourd’hui une nouvelle mesure visant à faciliter l’accès à la nationalité algérienne pour les ressortissants algériens résidant à l’étranger. Désormais, les membres de la communauté nationale établie hors du territoire pourront obtenir leur certificat de nationalité algérienne de manière électronique, via la représentation diplomatique ou consulaire la plus proche, sans avoir à se déplacer en Algérie. Selon un communiqué du ministère, le certificat de nationalité algérienne délivré par les consulats sera signé électroniquement et officiellement reconnu, garantissant ainsi sa fiabilité et sa légalité.
    • dzgeek123
      Idoom Fibre 1.2 Gbps

      Par dzgeek123 · Posté(e)

      c’est la bande de 80Mhz qui limite pas le wifi lui-même, chaque technologie wifi ses propres limites, le wifi 6 en 80Mhz n’y échappe pas.
×
×
  • Créer...