Borland corrige une faille de sécurité dans Interbase

Le dernier rapport du CERT (Computer emergency response team) daté du 10 janvier dernier fait état d'une faille de sécurité dans le serveur de données Interbase de Borland. D'après l'organisme américain de référence en matière de prévention des risques liés à la sécurité informatique, celle-ci touche toutes les versions du programme publiées depuis 1994, sur toutes les plates-formes (Windows, Linux, Solaris, HP-UX et SCO). Faisant preuve d'une réactivité exemplaire, l'éditeur a très rapidement mis à la disposition de ses clients et des détenteurs de la version Open Source (sortie depuis plus de 6 mois) une série de correctifs à appliquer selon le système.
La faille de sécurité en elle-même résulte d'un compte d'accès superviseur dont l'identifiant et le mot de passe seraient, selon le rapport, facilement identifiables par un hacker. En transitant par le port TCP/IP 3050 une fois le mot de passe saisi, il s'avère alors possible de manipuler n'importe quel objet de la base de données sur le système. Par rebond, le pirate mal intentionné peut ensuite modifier des données critiques dans Interbase, voire même installer un cheval de Troie pour prendre ultérieurement le contrôle de la machine à distance.

L'Open Source comme rempart contre les failles.
Selon les déclarations dans la presse anglo-saxonne de Jim Starkey, l'auteur de la première version d'Interbase sortie en 1985, ce qui est devenu aujourd'hui une faille de sécurité n'était, lors de son implémentation dans le produit en 1994, qu'une fonction permettant de faire communiquer ensemble deux parties du produit.
"Nous avons récupéré Interbase lorsque nous avons acquis en 1991 la société Ashton Tate qui était l'éditeur de DBase et l'un de nos plus importants concurrents avec Microsoft" déclare Bruno de Combiens, chef de produits chez Borland France. "Interbase est un produit complexe, et nous l'avons justement passé en Open Source dans un souci de recherche et d'amélioration de sa qualité."
L'opération est une réussite, puisque près de 6 ans durant, le code source contenant la faille n'était pas disponible. Cependant personne n'avait apparemment été lésé par cette faille. Aujourd'hui, c'est surtout grâce à la diffusion du code en open source que le CERT a pu élaborer son diagnostic.
[François Morel, JDNet]