Le Quartier Général

Posté : **ven. juin 15, 2012 11:13 am**

MySQL et Maria DB sont des systèmes à la base d'un business se chiffrant en centaines de millions de $ et qu'est-ce qu'on apprend ? Qu'on a une chance sur 256 d'entrer dans dedans même avec un mot de passe faux

Il suffit au pirate de répéter quelques centaines de tentatives de connexion avec un mot de passe erroné et le tour est joué, explique Sergei Golubchi, coordinateur sécurité à MariaDB sur le mailing-list oss-sec.

La faille se situe au niveau d'une librairie C dont dépendent ces SGBD. Il s'agit d'une erreur de casting qui a une chance sur 256 fois de se produire lors de la vérification du résultat de comparaison des mots de passe fournis et attendus (avec la fonction memcmp). De ce fait, entre 300 et 512 tentatives de connexions devraient suffire pour gagner un accès non autorisé à la base.

http://www.developpez.com/actu/44933/My ... t-touches/

Posté : **ven. juin 15, 2012 11:39 am**

J'espère que le code de lancement des missiles nucléaires n'est pas basé là-dessus.

Posté : **ven. juin 15, 2012 1:15 pm**

c'est pour ça que les gens de chez microsoft n'aiment pas utiliser les API extérieures.

Posté : **ven. juin 15, 2012 6:03 pm**

Il faut se servir de ce qui existe et de combler les failles. M'enfin, ca fait quand même peur de voir ca !

Posté : **ven. juin 15, 2012 7:34 pm**

Boudi a écrit :J'espère que le code de lancement des missiles nucléaires n'est pas basé là-dessus.

missiles qui doivent être périmés depuis 1979

info intéressante en tout cas (j'ai pas de données très sensibles sur mysql donc je m'inquiète pas plus que ça)

Le Quartier Général

L'informatique c'est fantastique

L'informatique c'est fantastique

Re: L'informatique c'est fantastique

Re: L'informatique c'est fantastique

Re: L'informatique c'est fantastique

Re: L'informatique c'est fantastique