Un produit commercial de caddie électronique, "Dansie shopping cart" à
base de cgi, comporte 2 routines non documentées et dont le code est
(faiblement) dissimulé, qui envoient un mail à l'auteur du produit et
permettent un accès à un fichier de configuration avec un mot de passe "en
dur".
S'il est probable que l'intention de départ était la protection contre le
vol et non le piratage organisé, une telle implémentation introduit chez
les utilisateurs de ce produit une vulnérabilité particulièrement grave,
donnant à tous les mêmes privilège que les cgi exécutés sur le serveur.
Un tel code est une erreur de design de débutant.
Le Logiciel Libre, de par la nature de son développement se prémunit très
efficacement contre ce type de cheval de Troyes et/ou de vulnérabilité.
Cette affaire montre encore une fois, si cela était nécessaire, voici
confirmée l'importance de préférer des logiciels libres pour toutes les
applications critiques, et particulièrement pour les outils de sécurité
informatique.
NdM. : cette dépêche a été initialement publiée le 19/04/2000 à 00h47, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).