Numéro : AV16-157
Date : Le 01 octobre 2016
Objet
Le présent avis a pour objet d'attirer l'attention sur de multiple avis de Sécurité publiés par Oracle.
Évaluation
Oracle a publié des mises à jour afin de corriger une vulnérabilité critique dans MySQL. L’exploitation de cette vulnérabilité pourrait permettre l’exécution de code arbitraire à distance. Cette vulnérabilité affecte aussi d’autres produits ayant pour base MySQL, incluant MariaDB et Percona Server.
Versions Affectées :
- Oracle MySQL 5.5.x avant version 5.5.52
- Oracle MySQL 5.6.x avant version 5.5.33
- Oracle MySQL 5.7.x avant version 5.7.15
- MariaDB (Voir référence pour informations)
- Percona Server et XtraDB Cluster (Voir référence pour informations)
Référence CVE-2016-6662
Mesures Recommandées
Le CCRIC recommande que les administrateurs de système mettent à l'essai et déploient les mises à jour diffusées par le fournisseur aux applications concernées en conséquence.
National Vulnerability Database:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6662 (en anglais)
Chercheur en Sécurité informatique:
http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html (en anglais)
Oracle MySQL:
https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-52.html (en anglais)
https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-33.html (en anglais)
https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-15.html (en anglais)
Annonce de Sécurité MariaDB:
https://mariadb.org/mariadb-server-versions-remote-root-code-execution-vulnerability-cve-2016-6662/ (en anglais)
Mise à jour critique pour Percona Server:
https://www.percona.com/blog/2016/09/12/percona-server-critical-update-cve-2016-6662/ (en anglais)
Références :