Bulletin d'alerte Debian

DLA-1079-1 libdbd-mysql-perl -- Mise à jour de sécurité pour LTS

Date du rapport :
31 août 2017
Paquets concernés :
libdbd-mysql-perl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 866818, Bogue 866821.
Dans le dictionnaire CVE du Mitre : CVE-2017-10788, CVE-2017-10789.
Plus de précisions :

La bibliothèque Perl pour communiquer avec la base de données MySQL, utilisée dans le client mysql en ligne de commande, est vulnérable à une attaque d’homme du milieu dans les configurations SSL et à un plantage distant lors de la connexion à un serveur malveillant.

  • CVE-2017-10788

    Le module DBD::mysql jusqu’à 4.042 pour Perl permet à des attaquants distants de provoquer un déni de service (utilisation de mémoire après libération et plantage d'application) ou, éventuellement, d’avoir un impact non précisé en déclenchant (1) certaines réponses à des erreurs d’un serveur MySQL ou (2) une perte de connexion réseau à un serveur MySQL. Le défaut d’utilisation de mémoire après libération était introduit en s’appuyant sur une documentation incorrecte de mysql_stmt_close et des exemples de code d’Oracle.

  • CVE-2017-10789

    Le module DBD::mysql jusqu’à 4.042 pour Perl utilise le réglage mysql_ssl=1 pour signifier que SSL est facultatif (même si la documentation du réglage possède une déclaration your communication with the server will be encrypted). Cela permet à des attaquants de type « homme du milieu » d’usurper des serveurs à l'aide d'une attaque cleartext-downgrade, un problème relatif à CVE-2015-3152.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.021-1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets libdbd-mysql-perl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.