C'est le responsable de la sécurité informatique de Rapid7, H.D. Moore, qui a donné l'alerte.
Selon lui, une faille aurait déjà été identifiée en mai comme CVE-2012-2122 dans MySQL 5.1.63 et 5.5.25. Cependant, beaucoup d'administrateurs serveurs pourraient ne pas être conscients de l'impact possible de celle-ci, car le changelog pour ces versions ne contient que peu d'informations sur ce bug de sécurité. Cette brèche proviendrait d'une anomalie récurrente lors de la vérification des mots de passe utilisateurs par la fonction memcmp. Cette faille contribuerait à réduire à seulement une chance sur 256 la possibilité d'accéder à un mot de passe à partir d'un identifiant. Selon Sergei Golubchik, l'un des contributeurs au code source de MySQL, "300 essais ne prenant qu'une fraction de seconde, la protection de mot de passe serait donc actuellement inexistante". Les versions postérieures à 5.1.61, 5.2.11, 5.3.5, et 5.5.22 de MariaDB et de MySQL seraient touchées.Â
Le code d'exploitation de la faille rendu public
Un module d'exploitation de cette faille a été ajouté dimanche dernier à Metasploit, populaire un framework de test de pénétration. Après exploitation de la faille, le module copie tous les hash de mots de passe contenus dans la base de donnée. Il est alors possible au pirate d'exploiter ces hash en ayant recours à une attaque par dictionnaire tout en maintenant leur accès non autorisé sur le serveur et, ce, même si cette faille est par la suite réparée.
"Si vous abordez cette question avec un expert en pénétration de système, il vous dira que c'est l'un des procédés qui sera le plus utilisé pour les temps à venir", a déclaré H.D. Moore dans un billet de blog lundi.
M. Moore a également publié une liste des distributions de Linux pour lesquelles les précédentes compilations MySQL sont vulnérables à l'attaque. Il s'agit notamment des versions 64 bits d'Ubuntu 10.04, 10.10, 11.04, 11.10 et 12.04, la version 64 bits de OpenSuSE 12.1, la version 64 bits de Debian unstable, la version 64 bits de Fedora 16 et une version non précisée d'Arch Linux. Les utilisateurs sont invités à effectuer des mises à niveau vers des versions non vulnérables dès que possible, d'autant plus que le code d'exploitation pour la faille est maintenant public.