15/01/01
Borland
corrige une faille de sécurité dans Interbase
Le
dernier rapport du CERT
(Computer emergency response team) daté du 10 janvier
dernier fait état d'une faille de sécurité
dans le serveur de données Interbase de Borland.
D'après l'organisme américain de référence
en matière de prévention des risques liés
à la sécurité informatique, celle-ci
touche toutes les versions du programme publiées depuis
1994, sur toutes les plates-formes (Windows, Linux, Solaris,
HP-UX et SCO). Faisant preuve d'une réactivité
exemplaire, l'éditeur a très rapidement mis
à la disposition de ses clients et des détenteurs
de la version Open Source (sortie depuis plus de 6 mois)
une série
de correctifs à appliquer selon le système.
La faille de sécurité en elle-même résulte
d'un compte d'accès superviseur dont l'identifiant
et le mot de passe seraient, selon le rapport, facilement
identifiables par un hacker. En transitant par le port TCP/IP
3050 une fois le mot de passe saisi, il s'avère alors
possible de manipuler n'importe quel objet de la base de données
sur le système. Par rebond, le pirate mal intentionné
peut ensuite modifier des données critiques dans Interbase,
voire même installer un cheval de Troie pour prendre
ultérieurement le contrôle de la machine à
distance.
L'Open Source comme rempart contre
les failles.
Selon les déclarations dans la presse anglo-saxonne
de Jim Starkey, l'auteur de la première version d'Interbase
sortie en 1985, ce qui est devenu aujourd'hui une faille de
sécurité n'était, lors de son implémentation
dans le produit en 1994, qu'une fonction permettant de faire
communiquer ensemble deux parties du produit.
"Nous avons récupéré Interbase lorsque
nous avons acquis en 1991 la société Ashton
Tate qui était l'éditeur de DBase et l'un de
nos plus importants concurrents avec Microsoft" déclare
Bruno de Combiens, chef de produits chez Borland France. "Interbase
est un produit complexe, et nous l'avons justement passé
en Open Source dans un souci de recherche et d'amélioration
de sa qualité."
L'opération
est une réussite, puisque près de 6 ans
durant, le code source contenant la faille n'était
pas disponible. Cependant personne n'avait apparemment été
lésé par cette faille. Aujourd'hui, c'est surtout
grâce à la diffusion du code en open source que
le CERT a pu élaborer son diagnostic.
[François
Morel, JDNet]
|