Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut se positionner en Man-in-the-Middle lorsque le
client MySQL demande une session TLS, afin de lire ou modifier les
données échangées.

– Produits concernés : MySQL Community, MySQL Enterprise, Percona
Server, XtraDB Cluster
– Gravité : 2/4
– Date création : 29/04/2015

DESCRIPTION DE LA VULNÉRABILITÉ

Le client MySQL peut communiquer avec le serveur à travers une
session TLS.

L’option "—ssl" du client demande une session TLS, mais ne
l’exige pas. Ce comportement est documenté, cependant tous les
administrateurs ne sont pas conscients de ce comportement.

Un attaquant peut donc se positionner en Man-in-the-Middle lorsque
le client MySQL demande une session TLS, afin de lire ou modifier
les données échangées.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/MySQL-Man-in-the-Middle-de-TLS-16761