Une faille de sécurité dans les solutions e-commerce d'IBM

Signalée mercredi par un "advisory" sur le site web d'IBM, une faille de sécurité a été découverte dans les logiciels WebSphere et Net.Commerce. Un petit programme nommé "SUQ.DIQ version 1.00" permettrait à son possesseur de décrypter les mots de passe administrateur ou utilisateurs qui transitent sur les serveurs IBM de transactions éléctroniques. Un grave problème de vulnérabilité affecte dès lors un nombre particulièrement important de plates-formes d'e-commerce à travers le monde, bien qu'il ne concerne pas les versions les plus récentes (5.1) des produits de la gamme WebSphere.

Sécuriser certaines macros
Selon la liste de diffusion Bugtraq, spécialisée dans les questions de sécurité, les plates-formes e-commerce IBM permettent l'exécution de macros qui ne valident pas correctement les requêtes saisies par les utilisateurs. Ainsi une requête d'exécution sur certains scripts peut fournir des informations sensibles sur le système. Ls administrateurs sont encouragés à vérifier d'urgence -en examinant leur fichier "log"- si leur système a été attaqué par le programme. S'ils constatent qu'une attaque a eu lieu, l'étape suivante consiste à changer les mots de passe administrateur pour éliminer enfin le risque d'une nouvelle attaque en sécurisant les macros. Pour cela, une procédure de correction est également indiquée sur le site d'IBM.

[Pascal Bories, JDNet]