Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Thursday 28 July 2005
0 comment(s) | Subnetwork France

C'est l'heure de compter les morts. Le nombre d'applications qui utilisent la fameuse librairie de compression Zlib, récemment vulnérable à un dépassement de mémoire tampon, ne laissait pas vraiment de doute : on allait forcément découvrir des cadavres dans les placards. C'est aujourd'hui le cas pour deux applications particulièrement populaires : le client P2P eMule et la base de données MySQL.La base de données est la plus durement touchée : pour elle, la faille Zlib permet non seulement une attaque par déni de service contre le serveur qui l'héberge (ce qui est déjà très sérieux pour une base de données !), mais aussi l'exécution de code avec les droits du serveur MySQL. La version 4.1.13 corrige cette vulnérabilité et la mise à jour est, bien sûr, vivement conseillée pour les serveurs directement accessibles depuis Internet.Le logiciel de Peer-to-Peer eMule utilise également la librairie Zlib et il est donc lui aussi vulnérable. Mais la portée de la faille semble ici plus réduite : on parle essentiellement d'un déni de service (faire planter le Windows des adeptes du P2P). L'exécution de code n'est que "potentielle" selon l'alerte du site Secunia (traduction : personne n'a pu démontrer que c'était impossible, mais personne n'a prouvé le contraire non plus !).En outre, la vulnérabilité n'est exploitable que lorsque le support du réseau KAD est activé, ce qui n'est pas toujours le cas.La version 0.46c du logiciel corrige cette faille, mais l'on rencontre encore beaucoup de versions antérieures sur le réseau. Connaissant le peu de scrupule des maisons de disque et de leurs mercenaires dans la lutte contre le téléchargement illégal, on peut tout à fait imaginer que ces dernières seront particulièrement tentées d'exploiter cette vulnérabilité pour faire massivement planter les clients eMule sur le réseau.

• L'alerte pour MySQL et le détail de la version 4.1.13 sur le site de son éditeur (en anglais).
• L'alerte pour eMule sur le site de Secunia (en anglais).