Les serveurs Netscape et iPlanet exposés

Le Cert (Computer emergency response team) a publié les détails de plusieurs problèmes de sécurité découverts au sein des serveurs iPlanet et Netscape Enterprise Server. Les risques sont de degrés divers mais peuvent, selon les cas, donner à des pirates un accès à certains fichiers ou même leur permettre de « planter » un serveur.

Le premier problème, détecté par la société ProCheckUp, donne la possibilité d’utiliser les applications Netscape Enterprise Server 4.0 et 4.1, ainsi que les serveurs Web iPlanet 4.x sous Windows, comme base d’une attaque incapacitante (denial of service attack). « Pour résumer, il suffit aux pirates d’entrer une commande dans leur navigateur Internet pour ‘planter’ le serveur », explique un document du Cert. « Pour que cela fonctionne, il faut toutefois que la fonction de web publishing soit activée, ce qui est tout de même assez commun », poursuit le texte.

Danger sur les mots de passe

Un deuxième problème concernant les mêmes versions des applications permet à un pirate de passer outre une demande d’authentification. Même si le Cert ne qualifie pas cette vulnérabilité de « faiblesse sévère », cela pourrait permettre à certains de lancer une campagne brutale de « cassage » de mots de passe. Selon ProCheckUp, c’est un problème car « il s’agit d’une fonction cachée qui, du coup, risque de ne pas être connue des administrateurs et concepteurs de sites Web ».

Richard Brain, directeur technique de la société spécialisée dans la sécurité, souligne : « Il faut noter que, bien que les serveurs Netscape ne soient pas aussi populaires qu’Apache ou IIS, ils sont toutefois utilisés couramment par des sites d’e-commerce ou de banque en ligne ».