Web – Sarebbero centinaia i siti dedicati al commercio elettronico in questo momento ancora a rischio per una vulnerabilità venuta alla luce lunedì sulla mailing list della sicurezza Bugtraq. Un buco che, secondo gli esperti, può consentire ad un aggressore di prendere possesso del negozio, acquisendo i privilegi di gestione del software.
Se questo accadesse, l’aggressore potrebbe di fatto modificare i comandi di sistema, copiare qualsiasi informazione a qualsiasi livello contenuta nel database (e dunque anche numeri di carte di credito, dati personali dei clienti e altro ancora), caricare qualsiasi file nel server.
Al momento, IBM sta distribuendo la versione 5.1 del software, che oggi si chiama WebSphere Commerce Suite, ma secondo quanto riportato da InternetNews.com sarebbero centinaia i siti che utilizzano la versione precedente.
Stando a quanto riportato su Bugtraq da “Rudi Carell”, pseudonimo utilizzato da un esperto di sicurezza austriaco, il problema sarebbe riscontrato da alcuni dei più importanti negozi online. Una affermazione contestata da IBM, secondo cui già dalla versione 3.1 il buco era stato coperto da una patch. Stando alla stessa IBM le versioni più recenti non hanno questo problema: “Abbiamo a suo tempo contattato tutti i nostri partner e clienti per informarli del problema e far scaricare loro le patch necessarie. Da un anno e mezzo non abbiamo alcuna segnalazione, dunque riteniamo di esserci occupati della cosa nel modo migliore già allora”.
La sostanza del baco sta, secondo Carell, nella gestione delle funzioni svolte con macro, che sarebbero incapaci di gestire nel modo giusto le operazioni di verifica e dunque consentirebbero di far arrivare comandi specifici nel database interno.
InternetNews.com conferma le affermazioni di Carell spiegando di aver utilizzato quella via per accedere al database, da dove ha potuto leggere i dati degli account da amministratore di sistema su alcuni dei siti che utilizzano quella versione del software e-commerce di IBM.