Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Faille dans MySQL et MariaDB

Ce qui est rigolo avec les failles de sécurité, c’est qu’on pourrait être tenté de dire que plus les années passent, plus elles sont complexes et tordues à exploiter, mais en fait non… Certaines restent toujours très accessibles et simples, ouvrant des portes aussi grosses que votre tata Monique.

La dernière en date touche malheureusement MariaDB et MySQL, 2 bases de données très très très utilisées dans le monde (enfin, la seconde un peu plus que la première quand même ^^). Cette faille basique rend possible une attaque sur le mot de passe en saturant le logiciel de tentatives d’authentification. Il suffit de connaitre simplement le login qui va bien et qui la plupart du temps est root, et environ 300 essais ratés plus tard, la fonction memcmp accorde l’accès avec n’importe quel mot de passe. Magique !

En réalité, lorsqu’un utilisateur se connecte à une base MariaDB/MySQL, un jeton (token SHA généré à partir du mot de passe et d’une valeur aléatoire) est calculé et comparé à la valeur attendue. Et malheureusement, à cause de cette faille, il arrive que les 2 valeurs soient considérées comme égales alors qu’elles ne le sont pas.

Ce problème touche les versions de MySQL 5.1.61, 5.2.11, 5.3.5, 5.5.22 et toutes les versions de MariaDB. Ubuntu 64-bit 10.04, 10.10, 11.04, 11.10, et 12.04 sont toutes vulnérables ainsi que la version MySQL 5.5.23 de Fedora et d’OpenSUSE 12.1 64-bit. Par contre, les Debian, Red Hat Enterprise 4, 5, 6 et Gentoo 64 bits sont clean.

Pour tester chez vous, voici ce qu’il faut taper :

$ for i in `seq 1 1000`; do mysql -u root –password=bad -h 127.0.0.1 2>/dev/null; done

Maintenant la vraie question c’est : Comment se protéger ?

Et bien en attendant que cette faille soit patchée un peu partout, il suffit d’interdire l’accès à la base depuis l’extérieur. Logiquement, par défaut c’est le cas dans la plupart des distributions, mais si vous voulez être sûr, éditez le fichier my.cnf (moi, il se trouve ici /etc/mysql/my.cnf) puis dans la section [mysqld], ajoutez ou contrôlez que le paramètre bind-address est bien en 127.0.0.1.

Après fait la modif, relancez MySQL et voilà !

Source


Travailler dans un groupe d’aéronautique ?

Découvrez les offres d’emploi et de stages de Safran dans la data, le digital, le logiciel et les systèmes d’information

Machine Learning, technologie 3D, systèmes de communication ou encore robotique, vous serez amenés à travailler sur différents projets innovants dans une entreprise qui vous laissera entièrement libre de proposer vos idées et qui vous accompagnera dans vos projets.

Vous pourrez peut être travailler sur notre projet Cassiopée : il s’agit du service que l’on rend aux compagnies aériennes, sur l’analyse de leurs données de détection et de déviation par rapport aux standards opérationnels, à des fins de sécurité aérienne.

Si vous n’avez pas peur d’être ambitieux venez consulter nos postes ouverts




NordVPN à -68% + 3 mois offert pour le Black Friday !

— Article sponsorisé par NordVPN —

Vous connaissez déjà tous NordVPN, que ce soit via leur sponsoring sur YouTube ou des sites Tech, dont le mien, puisque je vous ai déjà présenté le service plusieurs fois. Leurs offres sont généralement très intéressantes et c’est encore le cas pour célébrer le Black Friday 2020. Non seulement vous bénéficierez d’une remise de 68% sur l’abonnement 2 ans (plus des 2/3 du prix), mais en plus vous recevrez 3 mois gratuits.

Si vous n’avez pas encore de VPN installé sur votre ordinateur ou votre mobile, c’est peut-être le moment de franchir le pas sans avoir à débourser trop.

Nord VPN Offre Black Friday 2020

Pour ceux qui n’auraient pas lu mes autres articles sur le sujet, sachez que NordVPN est l’une des meilleures solutions du marché actuellement. Disposant d’une très grande rapidité (plus de 5500 serveurs dans le monde), d’une grande flexibilité (dispo sur toutes les plateformes desktop et mobiles en français), d’un tarif abordable et d’une grande facilité d’utilisation il est adapté à n’importe quel type de profil.

Que vous ayez besoin d’un VPN pour sécuriser votre surf, contourner une censure ou tout simplement accéder au catalogue Netflix, Amazon Prime, Disney+ & co … il fera le travail. Et surtout il le fera de manière proactive (en évitant au mieux les bans d’adresses IPs des plateformes de streaming) et sécurisée (chiffrement des données, double IP, serveurs P2P, réseau Onion … trop de choses pour tout citer, mais vous pouvez tout consulter sur leur site).

Les fonctionnalités Nord VPN

A noter aussi qu’en ce moment il est possible d’ajouter 2 services supplémentaires à cette offre de base.

Le premier c’est le gestionnaire de mots de passe maison, NordPass, qui vous permet de mémoriser et gérer vos mots de passe de manière sécurisée. Vous économiserez 71% sur le prix habituellement proposé. Le second est un service de cloud sécurisé, NordLocker, et là c’est pas moins de 81% d’économies que vous ferez. Ils font partie du groupe NordSec, une suite sécurité.

Au total pour 3,15 € avec 3 mois gratuits, vous aurez un des meilleurs VPN du marché. C’est l’idéal pour tester NordVPN en conditions réelles et voir s’il vous convient.

Encore merci à NordVPN de supporter korben.info en cette période !


Travailler dans un groupe d’aéronautique ?

Découvrez les offres d’emploi et de stages de Safran dans la data, le digital, le logiciel et les systèmes d’information

Machine Learning, technologie 3D, systèmes de communication ou encore robotique, vous serez amenés à travailler sur différents projets innovants dans une entreprise qui vous laissera entièrement libre de proposer vos idées et qui vous accompagnera dans vos projets.

Vous pourrez peut être travailler sur notre projet Cassiopée : il s’agit du service que l’on rend aux compagnies aériennes, sur l’analyse de leurs données de détection et de déviation par rapport aux standards opérationnels, à des fins de sécurité aérienne.

Si vous n’avez pas peur d’être ambitieux venez consulter nos postes ouverts