Risques

  • Accès local ou distant, avec privilèges, à l'intégralité de la base de données
  • Exécution de code (avec les privilèges root dans certains cas)

Systèmes affectés

La vulnérabilité est indépendante du système d'exploitation. Cependant, les versions du logiciel affectées sont :

  • Borland/Inprise 4.x et 5.x;
  • Open source Interbase 6.0 et 6.01;
  • Open source Firebird 0.9-3 et toutes les versions précédentes.

Résumé

Un accès privilégié (back door) permettant d'administrer entièrement la base de données Interbase localement ou à distance a été laissé dans le code source et son exécutable.

Description

Interbase Server est un serveur de base de données SQL dont les sources sont disponibles et distribuées en version compilées ou non par Borland, SourceForge et IBPhoenix.

Le logiciel, une fois installé, est accessible pour maintenance par le port 3050/TCP, ou localement avec un simple mot de passe écrit en clair dans le code. Ce mot de passe ne peut malheureusement pas être changé une fois le serveur installé.

Cet accès permet de manipuler tous les objets de la base de données ce qui permet aussi d'installer des chevaux de Troie ou tout autre logiciel sous la forme d'une procédure stockée.

Si le serveur est lancé par root, l'utilisateur profitant de cette porte dérobée peut avoir accès en lecture et en écriture à tous les fichiers présents sur le système. Il peut donc modifier le système et exécuter du code avec les privilèges root.

Contournement provisoire

Il faut bloquer le port 3050/TCP à l'aide du garde barrière.

Il ne faut jamais exécuter un serveur en tant que root.

Solution

Appliquer les correctifs selon la version du logiciel et le système d'exploitation :

  • IBPhoenix :

    http://firebird.ibphoenix.com
    
  • Borland :

    • pour HP-UX :

      http://inprise-svca.www.conxion.com/IbHpuxPatch.tar.Z
      
    • pour Linux :

      http://inprise-svca.www.conxion.com/IbLinuxPatch.tar.Z
      
    • pour Solaris :

      http://inprise-svca.www.conxion.com/IbSolarisPatch.tar.Z
      
    • pour SCO Unix :

      http://inprise-svca.www.conxion.com/IbSCOPatch.tar.Z
      
    • Windows :

      http://inprise-svca.www.conxion.com/IbWinPatch.zip
      

Documentation