Avis aux administrateurs système, une très grosse faille de sécurité a été découverte il y a quelques jours dans MySQL, et de nombreux exploits circulent déjà. En fait, exploiter cette faille est à la portée du script kiddie le plus novice qui soit.

Cette faille permet de se connecter au service par une attaque en force brute, pour peu qu'un nom d'utilisateur soit connu. Et comme la plupart des MySQL ont comme nom d'utilisateur, avec tous les droits, root au admin, cela devient un jeu d'enfant.

Le défaut a son origine dans le fait que le code part du principe que la fonction memcmp() qui est utilisée pour tester la validité du mot de passe retourne toujours une valeur comprise en -127 et 127. Cependant, selon les optimisations du compilateur utilisées pour compiler MySQL, une valeur en dehors de ces bornes peut être retournée, qui fera déduire au code qu'un mot de passe complètement faux est valide.

En fait, la faille est telle qu'il y a une chance sur 256 qu'un mot de passe erroné soit accepté. Attaquer ainsi MySQL en force brute devient un jeu d'enfant. A ce niveau est-ce qu'on même parler de force brute ? :-)

Bref un utilisateur de votre système cassera MySQL avec un script shell rudimentaire :

for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

Et si votre MySQL est accessible sur le réseau, alors votre service est ouvert aux quatre vents. Ajustez vite votre configuration.

Des essais effectués sur plus de 17, millions de serveurs par les spécialistes en sécurité depuis la découvert de cette faille ont montré que 50% d'entre eux sont vulnérables!

Toutes les versions de MariaDB et MySQL jusqu'à 5.1.61, 5.2.11, 5.3.5, 5.5.22 
incluses sont vulnérables. Patchez vite votre système.

Source :

http://seclists.org/oss-sec/2012/q2/493

https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql