CERTA-2001-AVI-003

Vulnerability from certfr_avis - Published: - Updated:

Un accès privilégié (back door) permettant d'administrer entièrement la base de données Interbase localement ou à distance a été laissé dans le code source et son exécutable.

Description

Interbase Server est un serveur de base de données SQL dont les sources sont disponibles et distribuées en version compilées ou non par Borland, SourceForge et IBPhoenix.

Le logiciel, une fois installé, est accessible pour maintenance par le port 3050/TCP, ou localement avec un simple mot de passe écrit en clair dans le code. Ce mot de passe ne peut malheureusement pas être changé une fois le serveur installé.

Cet accès permet de manipuler tous les objets de la base de données ce qui permet aussi d'installer des chevaux de Troie ou tout autre logiciel sous la forme d'une procédure stockée.

Si le serveur est lancé par root, l'utilisateur profitant de cette porte dérobée peut avoir accès en lecture et en écriture à tous les fichiers présents sur le système. Il peut donc modifier le système et exécuter du code avec les privilèges root.

Contournement provisoire

Il faut bloquer le port 3050/TCP à l'aide du garde barrière.

Il ne faut jamais exécuter un serveur en tant que root.

Solution

Appliquer les correctifs selon la version du logiciel et le système d'exploitation :

  • IBPhoenix :

    http://firebird.ibphoenix.com

  • Borland :

    • pour HP-UX :

      http://inprise-svca.www.conxion.com/IbHpuxPatch.tar.Z

    • pour Linux :

      http://inprise-svca.www.conxion.com/IbLinuxPatch.tar.Z

    • pour Solaris :

      http://inprise-svca.www.conxion.com/IbSolarisPatch.tar.Z

    • pour SCO Unix :

      http://inprise-svca.www.conxion.com/IbSCOPatch.tar.Z

    • Windows :

      http://inprise-svca.www.conxion.com/IbWinPatch.zip

La vulnérabilité est indépendante du système d'exploitation. Cependant, les versions du logiciel affectées sont :

  • Borland/Inprise 4.x et 5.x;
  • Open source Interbase 6.0 et 6.01;
  • Open source Firebird 0.9-3 et toutes les versions précédentes.
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLa vuln\u00e9rabilit\u00e9 est ind\u00e9pendante du syst\u00e8me d\u0027exploitation.  Cependant, les versions du logiciel affect\u00e9es sont :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eBorland/Inprise 4.x et 5.x;\u003c/LI\u003e    \u003cLI\u003eOpen source Interbase 6.0 et 6.01;\u003c/LI\u003e    \u003cLI\u003eOpen source Firebird 0.9-3 et toutes les versions    pr\u00e9c\u00e9dentes.\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nInterbase Server est un serveur de base de donn\u00e9es SQL dont les sources\nsont disponibles et distribu\u00e9es en version compil\u00e9es ou non par Borland,\nSourceForge et IBPhoenix.\n\nLe logiciel, une fois install\u00e9, est accessible pour maintenance par le\nport 3050/TCP, ou localement avec un simple mot de passe \u00e9crit en clair\ndans le code. Ce mot de passe ne peut malheureusement pas \u00eatre chang\u00e9\nune fois le serveur install\u00e9.\n\nCet acc\u00e8s permet de manipuler tous les objets de la base de donn\u00e9es ce\nqui permet aussi d\u0027installer des chevaux de Troie ou tout autre logiciel\nsous la forme d\u0027une proc\u00e9dure stock\u00e9e.\n\nSi le serveur est lanc\u00e9 par root, l\u0027utilisateur profitant de cette porte\nd\u00e9rob\u00e9e peut avoir acc\u00e8s en lecture et en \u00e9criture \u00e0 tous les fichiers\npr\u00e9sents sur le syst\u00e8me. Il peut donc modifier le syst\u00e8me et ex\u00e9cuter du\ncode avec les privil\u00e8ges root.\n\n## Contournement provisoire\n\nIl faut bloquer le port 3050/TCP \u00e0 l\u0027aide du garde barri\u00e8re.\n\nIl ne faut jamais ex\u00e9cuter un serveur en tant que root.\n\n## Solution\n\nAppliquer les correctifs selon la version du logiciel et le syst\u00e8me\nd\u0027exploitation :\n\n-   IBPhoenix :\n\n        http://firebird.ibphoenix.com\n\n-   Borland :\n    -   pour HP-UX :\n\n            http://inprise-svca.www.conxion.com/IbHpuxPatch.tar.Z\n\n    -   pour Linux :\n\n            http://inprise-svca.www.conxion.com/IbLinuxPatch.tar.Z\n\n    -   pour Solaris :\n\n            http://inprise-svca.www.conxion.com/IbSolarisPatch.tar.Z\n\n    -   pour SCO Unix :\n\n            http://inprise-svca.www.conxion.com/IbSCOPatch.tar.Z\n\n    -   Windows :\n\n            http://inprise-svca.www.conxion.com/IbWinPatch.zip\n",
  "cves": [],
  "links": [
    {
      "title": "L\u0027avis d\u0027IBPhoenix :",
      "url": "http://firebird.ibphoenix.com"
    },
    {
      "title": "L\u0027avis du CERT/CC :",
      "url": "http://www.cert.org/advisorie/VA-2001-01.html"
    },
    {
      "title": "L\u0027avis du CERT/CC :",
      "url": "http://www.kb.cert.org/vuls/id/247371"
    },
    {
      "title": "L\u0027avis de Borland :",
      "url": "http://www.borland.com/interbase/downloads/patches.html"
    }
  ],
  "reference": "CERTA-2001-AVI-003",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-01-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Acc\u00e8s local ou distant, avec privil\u00e8ges, \u00e0 l\u0027int\u00e9gralit\u00e9 de la base de donn\u00e9es"
    },
    {
      "description": "Ex\u00e9cution de code (avec les privil\u00e8ges root dans certains cas)"
    }
  ],
  "summary": "Un acc\u00e8s privil\u00e9gi\u00e9 (\u003cspan class=\"textit\"\u003eback door\u003c/span\u003e) permettant\nd\u0027administrer enti\u00e8rement la base de donn\u00e9es Interbase localement ou \u00e0\ndistance a \u00e9t\u00e9 laiss\u00e9 dans le code source et son ex\u00e9cutable.\n",
  "title": "Acc\u00e8s privil\u00e9gi\u00e9 oubli\u00e9 dans le code de Interbase Server de Borland",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis CA-2001-01 du CERT-CC",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.