Rischi/ Grave buco su IBM Net.Commerce

L'azienda non ha ancora rilasciato la patch per coprire la vulnerabilitÓ del software utilizzato da molte imprese per il commercio elettronico. Un bug che pu˛ consentire di prendere possesso del sistema di gestione. IBM nega

Web - Sarebbero centinaia i siti dedicati al commercio elettronico in questo momento ancora a rischio per una vulnerabilitÓ venuta alla luce lunedý sulla mailing list della sicurezza Bugtraq. Un buco che, secondo gli esperti, pu˛ consentire ad un aggressore di prendere possesso del negozio, acquisendo i privilegi di gestione del software.

Se questo accadesse, l'aggressore potrebbe di fatto modificare i comandi di sistema, copiare qualsiasi informazione a qualsiasi livello contenuta nel database (e dunque anche numeri di carte di credito, dati personali dei clienti e altro ancora), caricare qualsiasi file nel server.

Al momento, IBM sta distribuendo la versione 5.1 del software, che oggi si chiama WebSphere Commerce Suite, ma secondo quanto riportato da InternetNews.com sarebbero centinaia i siti che utilizzano la versione precedente.
Stando a quanto riportato su Bugtraq da "Rudi Carell", pseudonimo utilizzato da un esperto di sicurezza austriaco, il problema sarebbe riscontrato da alcuni dei pi¨ importanti negozi online. Una affermazione contestata da IBM, secondo cui giÓ dalla versione 3.1 il buco era stato coperto da una patch. Stando alla stessa IBM le versioni pi¨ recenti non hanno questo problema: "Abbiamo a suo tempo contattato tutti i nostri partner e clienti per informarli del problema e far scaricare loro le patch necessarie. Da un anno e mezzo non abbiamo alcuna segnalazione, dunque riteniamo di esserci occupati della cosa nel modo migliore giÓ allora".

La sostanza del baco sta, secondo Carell, nella gestione delle funzioni svolte con macro, che sarebbero incapaci di gestire nel modo giusto le operazioni di verifica e dunque consentirebbero di far arrivare comandi specifici nel database interno.

InternetNews.com conferma le affermazioni di Carell spiegando di aver utilizzato quella via per accedere al database, da dove ha potuto leggere i dati degli account da amministratore di sistema su alcuni dei siti che utilizzano quella versione del software e-commerce di IBM.