Borland-brukere må tette gammelt sikkerhetshull

Seks måneder etter at Borland-databasen InterBase ble sluppet som åpen kildekode er det oppdaget en seks år gammel "bakdør" som ikke kan lukkes gjennom normale prosedyrer.

Hullet i Borland Corporations database InterBase ble først kjent onsdag i forrige uke gjennom en advarsel fra den amerikanske tjenesten Computer Emergency Response Team (CERT). Sikkerhetshullet består av brukernavnet "politically" og passordet "correct" som er lagt inn i selve programkoden og som ikke kan endres på vanlig måte. Brukernavnet og passordet gir fulle rettigheter til alle InterBase-databaser, uavhengig av alle andre sikkerhetstiltak.

CERT understreker at enhver bruker, fjern eller lokal, har anledning til å manipulere ethvert objekt i databasen. "Dette omfatter anledningen til å installere fall-lemmer eller andre slags trojansk programvare i form av lagrede prosedyrer. Hvis databasen dessuten kjøres under rotprivilegier, kan enhver fil på serverens filsystem overskrives." CERT legger til at det ikke er mottatt rapporter om at sårbarheten er blitt utnyttet.

Hullet er tilstede i InterBase 4.0, 5.0 og 6.0. InterBase 4.0 ble sluppet for seks år siden. InterBase 6.0 kom for et halvt år siden, og er den første versjonen som er sluppet som åpen kildekode. En sårbarhet som ved en feil er blitt liggende igjen i mange år, er altså blitt oppdaget og rettet etter et halvt år med åpen tilgang til kildekoden.

Borland sier i en pressemelding at de har varslet kunder og partnere. Patcher er tilgjengelig på selskapets nettsted, for operativsystemene HP-UX, Linux, SCO, Solaris og Windows.

Borland-produkter markedsføres i Norge gjennom Component Software Nordic. Teknologidirektør Torstein Thorsen sier til digitoday.no at verken han eller andre i Component Software har mottatt noen form for offisiell meddelelse om denne saken fra Borland.

InterBase er integrert i klient/tjener-utviklingsverktøyet Delphi, og distribueres også som eget produkt. Thorsen understreker at InterBase ikke nyttes i Java-applikasjonsverktøyene. Det ble nylig kunngjort at Den norske Bank AS har valgt Borland-verktøyene VisiBroker og VisiBroker Gatekeeper i forbindelse med utviklingen av bankens Internett-applikasjoner. Databasen som nyttes av disse verktøyene har ingenting med InterBase å gjøre.

(Inprise Corporation, tidligere Borland International, vedtok i november i fjor å ta tilbake sitt gamle navn, og kaller seg nå Borland Corporation i all markedskommunikasjon.)

Til toppen