Alerte de sécurité – Exposition imposée par le fournisseur

dans les sites i5.

Le risque en question se glisse dans votre système à l’occasion de l’installation d’un logiciel vendu par un fournisseur. En effet, un petit nombre de fournisseurs de logiciels i5/OS réputés mettent peut-être votre système en danger. Je ne les nommerai pas ici, mais si vous recherchez les symptômes que je décris et si vous les trouvez chez vous, vous les reconnaîtrez.

Certains fournisseurs de logiciels installent de puissants profils utilisateur sur votre système ; puissants certes, mais pas bien sécurisés. Pendant l’installation, des profils utilisateur provenant de fournisseurs et présentant les caractéristiques d’un responsable de sécurité système sont créés. Les autorités spéciales du genre *ALLOBJ, *SECADM et *IOSYSCFG sont inhérentes à ces profils utilisateur. Ces profils sont généralement livrés avec un mot de passe par défaut, mais là n’est pas le problème car il est facile de changer les mots de passe. Le problème est que l’autorité publique (*PUBLIC) sur ces profils est *USE ou *CHANGE au lieu de l’autorité correcte *EXCLUDE. Cela permet en fait à n’importe quel utilisateur de votre système, connaissant la manoeuvre, de s’introniser responsable sécurité ou utilisateur racine.

Les utilisateurs peuvent facilement exploiter la faille en utilisant une simple commande SBMJOB et en spécifiant le paramètre USER, comme dans les lignes qui suivent :

SBMJOB CMD(CPYF FROMFILE(PAYROLL) TOFILE(*PRINT) USER(Vendor-User-Profile)

Cette commande va présenter le contenu de votre fichier de paie ! La commande exécutée peut être n’importe quelle commande, même si l’utilisateur exécutant SBMJOB n’est pas autorisé à exécuter l’action du paramètre CMD. Quand un profil utilisateur n’est pas sécurisé, il permet à un utilisateur de s’emparer des puissantes autorités du profil donné par le fournisseur. Remarque : Des commandes comme CRTUSRPRF ne peuvent pas être utilisées dans le paramètre CMD de la commande SBMJOB si l’utilisateur final n’a pas l’autorité spéciale *SECADM. Pour contourner cette restriction, vous pouvez utiliser le paramètre RQSDTA au lieu du paramètre CMD, comme dans ce qui suit :

SBMJOB RQSDTA(CPYF FROMFILE(PAYROLL) TOFILE(*PRINT) USER(Vendor-User-Profile)

Pour savoir si vous souffrez de ce problème, suivez les étapes ci-après :

1. Affichez le profil utilisateur pour le profil donné par le fournisseur : DSPUSRPRF Vendor-Profile-Name
2. Vérifiez l’information sur les autorités spéciales. Si ce n’est pas *NONE, continuez. (Des autorités spéciales peuvent être nécessaires au profil utilisateur et cela n’indique pas un problème sauf en cas d’échec au test suivant.)
3. Affichez l’autorité objet du profil utilisateur donné par le fournisseur :

DSPOBJAUT Vendor-Profile-Name *USRPRF

Si vous voyez *PUBLIC avec autre chose que *EXCLUDE, votre sécurité est exposée. Dans ce cas, demandez à votre fournisseur de corriger la situation. S’il vous répond « C’est comme ça et vous ne pouvez pas le changer », faites-le moi savoir en m’envoyant un courriel à clubtech@SystemiNetwork. com. En fait, je souhaite connaître tout logiciel provenant d’un fournisseur, présentant ce problème.

Il est grand temps de mettre nos fournisseurs devant leurs responsabilités quand ils introduisent subrepticement des risques de sécurité et d’intégrité dans nos systèmes !

Par Dan Riehl