Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

19.01.2001 - 

Fehler existierte seit 1992

Borland stopft langjähriges Sicherheitsloch in Interbase

MÜNCHEN (CW) - Borland, Anbieter von Entwicklungswerkzeugen, hat eine gravierende Sicherheitslücke in seiner Datenbank "Interbase" geschlossen. Dank einer unbemerkt gebliebenen "Hintertür" war jahrelang der unautorisierte Zugriff auf das System möglich gewesen.

Es ist dem Open-Source-Projekt Ibphoenix zu verdanken, dass das seit 1992 in der Datenbank schlummernde Sicherheitsproblem überhaupt entdeckt wurde. Die Gruppe, die an einer quelloffenen Version von Interbase namens "Firebird" arbeitet, hatte Mitte Dezember den Fehler entdeckt und dem Computer Emergency Response Team (Cert) gemeldet. Durch die entdeckte Hintertür ist es möglich, über den TCP-Port 3050 auf die Interbase-Datenbank zuzugreifen und das unverschlüsselt im Quelltext stehende Passwort zu lesen. Läuft das System zudem als User "root", ist sogar die Manipulation der gesamten Datenbank möglich.

Begleitet wurde die Entdeckung von einem heftigen verbalen Schlagabtausch zwischen Borland und Ibphoenix. Dessen Betreiber behaupteten dabei, dass die Hintertür absichtlich vom Hersteller implementiert worden sei, um jederzeit auf die Sicherheitsdaten des Systems (isc4.gdb) ab Version 4 zugreifen zu können. Zudem habe Borland die Funktion, mit der sich das System zum Absturz bringen lässt, 1994 für Testzwecke eingebaut und darauf bestanden, sie in künftigen Versionen beizubehalten.

Der Hersteller wies die Vorwürfe zurück und veröffentlichte dieser Tage entsprechende Patches unter www.borland.com/interbase/downloads/patches.html. Im Einzelnen betroffen sind die Release-Stände 4.x und 5.x sowie die Open-Source-Versionen 6.0 und 6.01.

Eine korrigierte Firebird-Version 0.9-4 gibt es zum Download unter http://source-forge.net/project/showfiles.php?group_id=9028.