Tech

eMule, MySQL : la faille Zlib a frappé

ActualitéClassé sous :Tech , emal , mysql

On commence à compter les victimes de la faille qui frappait récemment la librairie générique Zlib. Aujourd'hui, c'est le logiciel de Peer-to-Peer eMule et la base de données libre MySQL qui s'y collent : tous deux embarquent une version vulnérable de la librairie et pourraient être victimes d'un déni de service (faire planter l'ordinateur qui les héberge) ou permettre la prise de contrôle du PC. Les versions corrigées sont disponibles.

eMule, MySQL : la faille Zlib a frappé

C'est l'heure de compter les morts. Le nombre d'applications qui utilisent la fameuse librairie de compression Zlib, récemment vulnérable à un dépassement de mémoire tampon, ne laissait pas vraiment de doute : on allait forcément découvrir des cadavres dans les placards. C'est aujourd'hui le cas pour deux applications particulièrement populaires : le client P2P eMule et la base de données MySQL.

La base de données est la plus durement touchée : pour elle, la faille Zlib permet non seulement une attaque par déni de service contre le serveur qui l'héberge (ce qui est déjà très sérieux pour une base de données !), mais aussi l'exécution de code avec les droits du serveur MySQL. La version 4.1.13 corrige cette vulnérabilité et la mise à jour est, bien sûr, vivement conseillée pour les serveurs directement accessibles depuis Internet.

Le logiciel de Peer-to-Peer eMule utilise également la librairie Zlib et il est donc lui aussi vulnérable. Mais la portée de la faille semble ici plus réduite : on parle essentiellement d'un déni de service (faire planter le Windows des adeptes du P2P). L'exécution de code n'est que "potentielle" selon l'alerte du site Secunia (traduction : personne n'a pu démontrer que c'était impossible, mais personne n'a prouvé le contraire non plus !). En outre, la vulnérabilité n'est exploitable que lorsque le support du réseau KAD est activé, ce qui n'est pas toujours le cas.

La version 0.46c du logiciel corrige cette faille, mais l'on rencontre encore beaucoup de versions antérieures sur le réseau. Connaissant le peu de scrupule des maisons de disque et de leurs mercenaires dans la lutte contre le téléchargement illégal, on peut tout à fait imaginer que ces dernières seront particulièrement tentées d'exploiter cette vulnérabilité pour faire massivement planter les clients eMule sur le réseau.

Compléments (Futura-Sciences)

Il existe d'autres victimes : FileZilla, Ethereal, et d'autres suivront certainement bientôt.

Cela vous intéressera aussi