Une nouvelle faille a été découverte ce mois ci au niveau de la base de Données MySQL, au niveau des version 5.1.61, 5.2.11, 5.3.5 et 5.5.22 : elle permet de se connecter à un compte utilisateur sans en avoir le mot de passe.
Le principe est simple : on boucle sur l’identification et au bout de plusieurs centaines de fois, la fonction MySQL memcmp bug et autorise l’identification même sans avoir le bon mot de passe.
Comment tester si votre serveur mysql est sujet à ce hack?
Taper dans une console les lignes de code suivantes :
$ for i in `seq 1 1000`; do mysql -u root –password=bad -h 127.0.0.1 2>/dev/null; done
Comment protéger son serveur MySQL du bug memcmp?
Pour le moment, la seule solution est d’autoriser la connection à votre serveur uniquement en local, ce qui empêchera tout intrusion de hacker.
Dans le fichier de configuration de MySQL (my.cnf), attribuez la valeur 127.0.0.1 à la variable bind-adresse.
bind-address = 127.0.0.1
Redémarrez ensuite votre serveur Mysql
/etc/init.d/mysql restart