Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

MySQL.com, Sun.com victimes d’une injection SQL

Publiée par Guillaume Belfiore le Lundi 28 Mars 2011

TinKode, un développeur spécialisé dans la sécurité informatique, affirme qu’un hacker s’est inspiré de l’un de ses rapports décrivant la possibilité de procéder à une injection SQL sur les sites Internet de MySQL et a rendu public une base de données sur le site Internet PasteBin


Initialement découverte au mois de janvier dernier, la faille en question permettrait d’effectuer une attaque par injection SQL, c’est-à-dire en envoyant une requête que le gestionnaire de la base de données ne saura pas interpréter. Cette dernière toucherait les sites Internet www.mysql.com, mysql.fr, mysql.de, mysql.it et www-jp.mysql.com. Le site Internet de Sun.com serait également concerné. Les bases de données publiées contiennent les noms, les adresses email ainsi que les mots de passe chiffrés des administrateurs de ces sites Internet.

Notons par ailleurs que TinKode avait précédemment découvert une seconde faille sur MySQL.com en procédant cette fois à une attaque par cross-scripting (XSS) qui consiste à injecter un script directement au coeur des pages web.

Très populaires sur le marché, les bases de données MySQL sont notamment utilisées auprès de la communauté du logiciel libre pour mener à bien certains projets tels que Wordpress, Joomla ou Gallery ; ces derniers étant alors déployés auprès de millions d’internautes. Sur son site officiel, MySQL rapporte enregistrer 65 000 téléchargements chaque jour.

Source : clubic.com