Vigil@nce - MySQL : Man-in-the-Middle de TLS
juin 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se positionner en Man-in-the-Middle lorsque le
client MySQL demande une session TLS, afin de lire ou modifier les
données échangées.
– Produits concernés : MySQL Community, MySQL Enterprise, Percona
Server, XtraDB Cluster
– Gravité : 2/4
– Date création : 29/04/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le client MySQL peut communiquer avec le serveur à travers une
session TLS.
L’option "—ssl" du client demande une session TLS, mais ne
l’exige pas. Ce comportement est documenté, cependant tous les
administrateurs ne sont pas conscients de ce comportement.
Un attaquant peut donc se positionner en Man-in-the-Middle lorsque
le client MySQL demande une session TLS, afin de lire ou modifier
les données échangées.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/MySQL-Man-in-the-Middle-de-TLS-16761