La propia desarrolladora del popular software de base de datos
FileMaker Pro 5.0 ha reconocido la existencia de vulnerabilidades en
el elemento Web Companion, por el cual cualquier usuario puede
examinar las bases de datos de otros usuarios así como falsear
e-mails.
El software Web Companion es una parte del paquete de base de datos
FileMaker Pro 5.0 (tanto para MacOS como para Windows NT), que incluye
capacidades de publicación XML pero en las cuales no se hace uso de
las características de seguridad web de FileMaker. De esta forma
cualquier usuario remoto puede consultar, vía XML, cualquier dato de
una página web conectada a una base de datos, independientemente de la
configuración de seguridad web de dichos datos.
FileMaker Pro 5.0 también integra soporte e-mail en las aplicaciones
web creadas a partir de bases de datos. Una de las características es
la capacidad de especificar los contenidos de un campo de una base de
datos para formar con ellos un mensaje. Esta característica evita la
seguridad web habitual de FileMaker Pro y permite a cualquier usuario
web remoto enviar cualquier contenido de una base de datos a una
dirección de correo independientemente de la configuración de
seguridad de dichos datos. Las características de email mencionadas
también permiten a los usuarios web enviar mensajes falsos de forma
anónima.
La propia compañía desarrolladora ha reconocido el problema y afirma
trabajar para poder ofrecer un parche que solucione los problemas lo
más rápido posible. Entre tanto se recomiendan configuraciones de
seguridad alternativas, como activar la protección por password, pues
el nivel de seguridad de los campos no es confiable.
Más información:
Securityfocus
Aviso Blue World
ZDNet
FileMaker
antonior@hispasec.com
Deja una respuesta