Borland fik sidste uge travlt med at rette et nyopdaget sikkerhedshul i firmaets database-software InterBase, version 4-6. Programmet indeholder en skjult bagdør, som giver adgang til databasens metadata; uvedkommende kan hente og manipulere vigtige systeminformationer og få systemet til at gå ned.
Bagdøren kan kun udnyttes hvis man kender det rigtige brugernavn og kodeord. Men - og dette er den egentlige skandale - begge er fast kodet ind i programmet og offentligt kendt, nemlig "politically" som brugernavn og "correct" som password.
Ifølge sikkerhedsorganisationen CERT kan uvedkommende udnytte bagdøren til at installere andre programmer, som giver adgang til at foretage mere vidtgående manipulationer af indholdet i databaser. Borland afviser dog, at sikkerhedshullet kan bruges til at læse eller ændre selve indholdet i InterBase-databaser.
Programmøren Frank Schlottman-Godde fandt hullet under hans arbejde med en open-source version af InterBase, "Firebird". Bagdøren ligger i en funktion, der blev tilføjet til programmet i 1994. Borland udsendte kildekoden til InterBase som open-source for kort tid siden, og der eksisterer nu to projekter som videreudvikler databasen i open-source regi, "open-source InterBase" og "FireBird".
Sikkerhedshullet var måske aldrig blevet fundet, hvis programmet ikke var frigivet som open-source. "Bagdøren i Borland's database InterBase viser netop en af Open Source stærkeste sider -
afsløring af skjulte bagdøre samt lukningen af dem," siger Claus Sørensen, formand for foreningen "Kommercielle Linux Interessenter i Danmark" (KLID).
"Umiddelbart kunne man godt få den tanke at afsløring af bagdøre er en sikkerhedsbrist, men den falske tryghed ved produkter baseret på lukket kildekode endnu større. Kun ved at have adgang til kildekoden og selv oversætte den, kan man sikre sig mod bagdører," siger han.
Borland har netop udsendt patches til InterBase version 4-6 under Windows, Linux, Solaris, HP-Unix og SCO. De kan downloades fra nedenstående adresse.
