La propia desarrolladora del popular software de base de datos FileMaker Pro 5.0 ha reconocido la existencia de vulnerabilidades en el elemento Web Companion, por el cual cualquier usuario puede examinar las bases de datos de otros usuarios así como falsear e-mails.
El software Web Companion es una parte del paquete de base de datos FileMaker Pro 5.0 (tanto para MacOS como para Windows NT), que incluye capacidades de publicación XML pero en las cuales no se hace uso de las características de seguridad web de FileMaker. De esta forma cualquier usuario remoto puede consultar, vía XML, cualquier dato de una página web conectada a una base de datos, independientemente de la configuración de seguridad web de dichos datos.
FileMaker Pro 5.0 también integra soporte e-mail en las aplicaciones web creadas a partir de bases de datos. Una de las características es la capacidad de especificar los contenidos de un campo de una base de datos para formar con ellos un mensaje. Esta caracter¡stica evita la seguridad web habitual de FileMaker Pro y permite a cualquier usuario web remoto enviar cualquier contenido de una base de datos a una direcci¢n de correo independientemente de la configuraci¢n de seguridad de dichos datos. Las caracter¡sticas de email mencionadas tambi’n permiten a los usuarios web enviar mensajes falsos de forma an¢nima.
La propia compa_¡a desarrolladora ha reconocido el problema y afirma trabajar para poder ofrecer un parche que solucione los problemas lo m s r pido posible. Entre tanto se recomiendan configuraciones de seguridad alternativas, como activar la protecci¢n por password, pues el nivel de seguridad de los campos no es confiable.
M s informaci¢n:
Securityfocus:
http://www.securityfocus.com/vdb/?id=1159
Aviso Blue World:
http://www.blueworld.com/blueworld/news/05.01.00-FM5_Security.html
ZDNet:
http://www.zdnet.com/zdnn/stories/news/0,4586,2560242,00.html
FileMaker:
http://www.filemaker.com/
Antonio Ropero
antonior@hispasec.com
