On commence à compter les victimes de la faille qui frappait récemment la librairie générique Zlib. Aujourd'hui, c'est le logiciel de Peer-to-Peer eMule et la base de données libre MySQL qui s'y collent : tous deux embarquent une version vulnérable de la librairie et pourraient être victimes d'un déni de service (faire planter l'ordinateur qui les héberge) ou permettre la prise de contrôle du PC. Les versions corrigées sont disponibles.

au sommaire


    eMule, MySQL : la faille Zlib a frappé

    eMule, MySQL : la faille Zlib a frappé

    C'est l'heure de compter les morts. Le nombre d'applicationsapplications qui utilisent la fameuse librairie de compression Zlib, récemment vulnérable à un dépassement de mémoire tampon, ne laissait pas vraiment de doute : on allait forcément découvrir des cadavres dans les placardsplacards. C'est aujourd'hui le cas pour deux applications particulièrement populaires : le client P2P eMuleeMule et la base de données MySQL.

    La base de données est la plus durement touchée : pour elle, la faille Zlib permet non seulement une attaque par déni de servicedéni de service contre le serveurserveur qui l'héberge (ce qui est déjà très sérieux pour une base de données !), mais aussi l'exécution de code avec les droits du serveur MySQL. La version 4.1.13 corrige cette vulnérabilité et la mise à jour est, bien sûr, vivement conseillée pour les serveurs directement accessibles depuis InternetInternet.

    Le logiciellogiciel de Peer-to-Peer eMule utilise également la librairie Zlib et il est donc lui aussi vulnérable. Mais la portée de la faille semble ici plus réduite : on parle essentiellement d'un déni de service (faire planter le Windows des adeptes du P2P). L'exécution de code n'est que "potentielle" selon l'alerte du site SecuniaSecunia (traduction : personne n'a pu démontrer que c'était impossible, mais personne n'a prouvé le contraire non plus !). En outre, la vulnérabilité n'est exploitable que lorsque le support du réseau KADKAD est activé, ce qui n'est pas toujours le cas.

    La version 0.46c du logiciel corrige cette faille, mais l'on rencontre encore beaucoup de versions antérieures sur le réseau. Connaissant le peu de scrupule des maisons de disque et de leurs mercenaires dans la lutte contre le téléchargement illégal, on peut tout à fait imaginer que ces dernières seront particulièrement tentées d'exploiter cette vulnérabilité pour faire massivement planter les clients eMule sur le réseau.

    Compléments (Futura-Sciences)

    Il existe d'autres victimes : FileZilla, Ethereal, et d'autres suivront certainement bientôt.