SEGURIDAD | Noticias | 09 MAR 2001

Los servidores de e-commerce de IBM, vulnerables a los hackers

IBM advierte en su sitio web contra una herramienta que permite desencriptar las contraseñas de usuario y administrador residentes en los servidores que usan su software de comercio electrónico.
Arantxa G. Aguilera
La herramienta, SUQ.DIQ versión 1.00, permite desencriptar y obtener las contraseñas de los sitios web que empleen macros para realizar las transacciones de e-commerce, según la advertencia de IBM. Entre los servidores de comercio electrónico afectados se encuentran Net.Commerce 3.1, 3.1.1, 3.1.2 y 3.2; WebSphere Commerce Suite 4.1 y 4.1.1; Net.Commerce Hosting Server 3.1.1, 3.1.2 y 3.2; WebSphere Commerce Suite Service Provider Edition 3.2; y WebSphere Commerce Suite Market Place Edition 4.1. El fallo se encuentra en las versiones de estos servidores que corran sobre los sistemas operativos IBM AIX, Microsoft Windows NT y Sun Microsystems Solaris OS.
Según la información facilitada por el Gigante Azul, los administradores deben verificar en primer lugar si su sitio web ha quedado expuesto a esta herramienta. Para ello, deben comprobar el log para verificar si las macros han sido afectadas por esta herramienta. Si se verifica el ataque, el siguiente paso es eliminar esta posibilidad, cambiando las contraseñas de administrador y asegurando las macros empleadas para realizar las transacciones de comercio electrónico. Otras recomendaciones de IBM se refieren al cambio de los permisos de acceso a directorios y macros.
Según la lista de correo Bugtraq sobre los fallos de seguridad, las plataformas de comercio de IBM soportan herramientas de macro que no validan adecuadamente las peticiones realizadas por el usuario. Si se realiza una solicitud de un script vulnerable, el servidor puede dejar al descubierto información sensible, como los resultados de consultas realizadas a la base de datos del servidor. El fallo también permite a un hacker obtener mayores privilegios de cuenta, según esta lista.
www-4.ibm.software.webservers/commerce/servers/2001-2.htm
www.securityfocus.com

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información