Aide - Recherche - Membres - Calendrier
Version complète : Failles de sécurité, vulnérabilité etc…
Forums MacBidouille > Général > Salle des serveurs
bad_duck
Bonjour,

Voici un petit topic qui permettra de nous prévenir mutuellement les une les autres des failles de sécurité en tous genre (pas forcément des failles OS X) que nous voyons passer.

###

Je commence ce matin avec une belle faille touchant l'authentification MySQL qui accepte n'importe quel password…

https://community.rapid7.com/community/meta...y-flaw-in-mysql
Versions affectées (le mieux est d'essayer) :
Code
So far, the following systems have been confirmed as vulnerable:
Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including @michealc )
OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc )
Fedora 16 64-bit ( via hexed )
Arch Linux (unspecified version)

Feedback so far indicates the following platforms are NOT vulnerable:
Official builds from MySQL and MariaDB (including Windows)
Red Hat Enterprise Linux, CentOS (32-bit and 64-bit) [ not conclusive ]
Ubuntu Linux 32-bit (10.04, 11.10, 12.04, likely all)
Debian Linux 6.0.3 64-bit (Version 14.14 Distrib 5.5.18)
Debian Linux lenny 32-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
Debian Linux lenny 64-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
Debian Linux lenny 64-bit 5.1.51-1-log ( via @matthewbloch )
Debian Linux squeeze 64-bit 5.1.49-3-log ( via @matthewbloch )
Debian Linux squeeze 32-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
Debian Linux squeeze 64-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
Gentoo 64-bit 5.1.62-r1 ( via @twit4c )
SuSE 9.3 i586 MySQL 4.1.10a ( via @twit4c )


J'avais un serveur affecté, c'est assez moche biggrin.gif
trouspinette
Wouah !!! Elle est forte celle là :-(

Server version: 5.1.63-0ubuntu0.11.10.1 (Ubuntu)

Nada :-)

CODE
root@Ubuntusa:~# for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done
root@Ubuntusa:~#


Je mets à jour mysql demain pour tester :-)

PS : c'est pas un serveur de prod, juste une VM tongue.gif
bad_duck
Citation (trouspinette @ 12 Jun 2012, 22:33) *
Wouah !!! Elle est forte celle là :-(


Dans le même genre : F5 BIG-IP Remote Root Authentication Bypass Vulnerability
> http://www.exploit-db.com/exploits/19064/
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.
Invision Power Board © 2001-2014 Invision Power Services, Inc.