Amicron-Faktura benutzt fest kodierte Master-Passwörter für den Zugriff auf die SQL-Datenbank und implementiert Benutzer-Berechtigungen Client-seitig. Böswillige Benutzer können Unternehmensdaten sehr einfach auslesen oder manipulieren.

Betroffene Produkte

Amicron-Faktura 9.0, 8.5, 8.0

Beschreibung

Die Amicron-Faktura Software weist ein erhebliches Sicherheitsproblem auf: Die Software benutzt fest kodierte Master-Passwörter für den Zugriff auf die Firebird SQL-Datenbank. Die Möglichkeit die Master-Passwörter zu ändern besteht nicht. Benutzer-Berechtigungen sind innerhalb der Anwendung implementiert und werden nicht durch die Datenbank überprüft.

Auswirkung

Böswillige Benutzer, die Kenntnis von den Master-Passwörtern haben, können sehr einfach Daten aus der Datenbank auslesen für welche Sie keine Berechtigung haben, und diese auch manipulieren oder sogar löschen.

Beispiel

Das folgende Beispiel liest alle Aufträge in der Auftrags-Tabelle:

bash# isql -user DEFAULTUSER -password DEFAULTPASSWD dbhost:/var/firebird/Amicron.fdb
SQL> SELECT * FROM AUFTRAG;


Lösung

Keine.