Une backdoor dans Interbase 6

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
15
jan.
2001
Sécurité
L'évanescent SGBD d'Inprise, Interbase, dont on pensait qu'il allait vite s'éteindre sans plus d'histoires, refait parler de lui. Une backdoor (destinée à permettre l'authentification des utilisateurs suite à un bug) a été découverte suite à son passage en Open Source. Toute personne se connectant au serveur Interbase avec le login `politically' et le mot de passe `correct' (arf, quel humour), pouvait accéder au SGBD et même parait-il exécuter du code sur la machine. Ce « bug » n'aura guère perduré que... six ans !
[source Vakooler.com qui reprend Transfert.net qui reprend Interbase2000.org ;-]

Aller plus loin

  • # news ???

    Posté par  . Évalué à 1.

    ca date un peu sa ...
    ya pas deja eu une niouze la dessus ?
    enfin merci pour les precisions quand meme

    score -15 ???

    • [^] # Re: news ???

      Posté par  (site web personnel) . Évalué à 1.

      Hum. C'est vrai que j'ai pas vérifié mais j'ai pas trop envie de me taper les news des 15 derniers jours là... Si c'est le cas, bah, désolé (nobody's perfect) !

      Envoyé depuis mon PDP 11/70

  • # De 2 choses l'une ...

    Posté par  . Évalué à 1.

    - soit ils sont vraiment des bouffons et ils n'ont pas compris que l'ouverture du code permet de lire le-dit code ;
    - soit ils prennent les gens pour des cons. Parce que que vraiment, il y en a qui maitrisent vraiment la programmation dans la "communauté du libre".

    • [^] # Re: De 2 choses l'une ...

      Posté par  . Évalué à 1.

      Non je pense qu'ils ont foutu une fonctionnalité de debug qui est restée ensuite dans le code récupéré pour chaque version.

      Le droit à l'erreur existe et d'ailleurs, cela met d'autant mieux en avant l'intérêt de passer à l'Open-Source... si on a envie de faire les corrections.

      Or les premiers patchs sont déjà disponibles, donc pour moi, cette histoire est plus un cocorico en direction de la communauté.

      • [^] # Re: De 2 choses l'une ...

        Posté par  . Évalué à 1.

        Donc, à ce moment là, ce sont eux qui ne savent pas coder ... Je ne suis pas un pro du C (très loin de là), mais je sais que pour ce genre de fonctionnalité, il faut écrire un truc du genre :
        #ifdef DEBUG
        add_backdoor();
        #endif

        Mais c'est vrai que dans un sens, c'est un bon point pour les développeurs du libre : ils sont obligés de faire un code clair et bien structuré parce qu'ils ne seront pas les seuls à l'utiliser (pas comme dans une entreprise ...)

        • [^] # Re: De 2 choses l'une ...

          Posté par  . Évalué à 0.

          Parce que tu crois qu'en entreprise, on ne code pas structuré. grand naif :-)

          Les entreprises utilisent surement plus de moyens pour modéliser une architecture et la structurée que certain projet open. Les spécifications d'un projet libre sont soit rarement pupliées soit inexistantes. La raison? certains hackers font ca pour leur plaisir (et ils ont raison) ils ne vont pas se faire chier avec des dossiers de spécif de plusieurs centaines de pages.

          • [^] # Re: De 2 choses l'une ...

            Posté par  . Évalué à 1.

            Moi ? Naïf ?

            Je te signale simplement que c'est depuis que je suis payé pour coder que je fais des trucs crade ... De plus, tu ne pourras pas me rétorquer que je n'ai pas de chance, que ma boîte ne sais pas travailler ! En effet, j'en suis à mon deuxième poste et, en tant que consultant, j'ai déjà touché à une vingtaine de projets différents dans des entreprises différentes. Et bien crois-moi, il n'y en pas pas un pour racheter l'autre !

            Ah ! Au fait, pour les étudiants qui nous liraient ici : tout ce qu'on vous rabache sur l'utilisation de super systèmes pour modéliser une application avant la réalisation, c'est de la connerie. Les spécifications, c'est au mieux 3 documents Word à peu près à jour. Tous les diagrammes réalisés avec des trucs comme Rose ou autres "éditeurs" d'UML, OMT ou Merise, c'est fait pour enfumer les dirigeants, pas comme base de travail pour le développement ... Donc si un jour vous voulez devenir chef, n'apprenez pas à vous servir de ce genre d'outil : vous vous rendriez compte que les équipes de développement n'en font qu'à leur tête tout en vous cirant les pompes.

            • [^] # Re: De 2 choses l'une ...

              Posté par  . Évalué à 0.

              C'est pas du C mais du Pascal, ou alors, comment on fait pour s'en servir avec Delphi ?

              En ce qui concerne la modélisation, plus le projet de base est grand, plus on en a besoin, c'est comme les post-it

  • # Deja posté !

    Posté par  . Évalué à 0.

    C'est du deja-lu ;)

    Pour moi, ca prouve tout simplement l'avantage du modele open-source.

    Et ca prouve aussi que contrairement a ce que beaucoup pensent Interbase est vraiment en opensource (sous MozzillaPL pour la petite histoire)

    Par contre la gestion de la crise à assi montré une grande maturité de la communauté des developpeurs,
    car au lieu de clamer tout fort :
    il y a une faille !!!

    Et de creer un panique, ils ont travailler sur le fix dare-dare et relisé le fix en meme temps que l'annonce ... super pro :)

    Je pense que si Oracle, Ms, ou Sybase mettaient en opensource leur code on en verrait des vertes et des pas murres !

    (Sans compter le celebre probleme des password par defaut non modifié par les admins !!!)

    Enfin ca prouve que la communauté travaille serieusement sur le code d'interbase et que l'on peut esperer une dynamique d'evolution ...

    jdbc:interbase://c-cool.com/data.gdb
    ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.