MySQL.com victime d'une injection SQL
Coup du sort et maladresse de certains administrateurs, MySQL.com a été piraté le week-end dernier par une injection SQL. Les hackers ont pu extraire les identifiants et les empreintes de mots de passe qu’ils n’ont pas manqué de publier sur pastebin.com.
Deux pirates roumains ont revendiqué l’acte lors de la publication des identifiants sur Internet. Les pirates ont aussi tenté d’utiliser la même attaque sur le site d’Oracle, mais ils sont repartis bredouilles. Ils ont tout de même pu déchiffrer les mots de passe les plus simples à l’aide d'une table arc-en-ciel. C’est ainsi que le monde a pu découvrir que le directeur responsable du compte Wordpress chez MySQL n’utilisait que quatre chiffres comme mot de passe (le code de sa carte bancaire ?).
MySQL.com héberge le célèbre outil de base de données MySQL. Il offre aussi des conseils pour assurer la sécurité de sa base de données. Les pirates affirment néanmoins avoir publié la faille un mois avant de l’exploiter. Il est conseillé à tous ceux qui ont un compte sur MySQL.com de changer de mot de passe. Si la portée du problème est minime, l’ironie de la situation devrait rester dans les annales. MySQL continue aussi d’être vulnérable à des attaques cross-site scripting selon Sophos qui sont connues depuis le début de l’année. Pour rappel, ce genre d’attaque permet d’injecter des données arbitraires dans un site web pour modifier son fonctionnement. Par exemple, publier un message sur le forum qui va contenir du code malveillant que le site va exécuter.
- Windows 7 Thin PC recycle vos machines
- Google embauche monsieur Java
- Des batteries qui se chargent en 2 minutes
- Freebox : NAS ou pas pour les taxes ?
- Les disques durs, plus rapides que les moines
- Condor, le supercalculateur PS3, fonctionne
- Les tablettes, le cauchemar d'Acer
- Des cartes SDHC à 20 Mo/s chez Patriot
- Mac OS X abandonne Samba
- Hanns.G HL245 : un 24 pouces LED et Full HD
- Kingston corrige le firmware de ses SSD V100
- La Radeon HD 6790 dans les starting-blocks
- De la FCRAM dans la Nintendo 3DS
- Le Quizz du dimanche (10) - La réponse
- Les copropriétaires mécontents de la convention "fibre"
- Les SSD 320 Series d’Intel débarquent
- Dell prépare un Alienware M14x
- La photo du jour : Windows 8
Tiens donc... Un excellent coup de pub pour qu'Oracle mette en avant sa BDD propriétaire. Je me demandais quand ça allait commencer la descente aux enfers de MySQL depuis le rachat par Oracle, voilà que c'est parti. Évidemment, je n'ai rien contre Oracle, non, non
...
Tiens donc... Un excellent coup de pub pour qu'Oracle mette en avant sa BDD propriétaire. Je me demandais quand ça allait commencer la descente aux enfers de MySQL depuis le rachat par Oracle, voilà que c'est parti. Évidemment, je n'ai rien contre Oracle, non, non
...
Le problème de sécurité vient d'un site web pas de la base de donnée.
N'empêche que pour un site qui est, entre autre, la vitrine des formations et des outils de sécurités de cette base de données, ça la fou mal.
En tant qu'admin mysql, voir un tel problème me fait me demander si leurs outils sont vraiment utile : si avec tous ces utilitaires et un certain nombre de spécialistes ils n'arrivent pas à éviter des failles basiques alors leurs utilitaires ne doivent pas être très utiles.
C'est ça l'image que ça donne.
Bon en tant que développeur web et webmaster, je me dis que juste qu'ils en ont rien à faire de leur site et que leur(s) développeur web ne cherche pas à (ou n'a pas la possibilité de) rendre le site un minimum sécurisé.
PS : Pour une boite comme feu mysql, feu sun, actuel oracle, je m'attendais à ce qu'ils aient au moins mis en place des tests automatisé dans leurs procédures de test. On ne s'attend pas au même niveau de compétence de la part d'une grosse boite d'informatique et de la mémé du coin de la rue.
@omega2
Eh oui, désormais on est dirigé par des incompétents. Pour moi un gus qui n'est pas capable de savoir qu'il faut un code > 4 caractères alphanumérique et spéciaux n'a tout simplement pas sa place en tant qu'employé dans une firme telle que Oracle. Moins encore en tant que gérant de la boîte.
Quel monde