Une importante faille de sécurité a récemment été découverte dans toutes les anciennes versions de FileMaker Server. N’importe qui peut entrer via FileMaker Pro ou FileMaker Pro Advanced et obtenir un accès complet à n’importe quelle base de données hébergée sur FileMaker Server. Cela est possible sans connaître le nom du fichier ou les noms de compte.
Si vous utilisez une version de FileMaker Server antérieure à la version 19.6.4, vous devez lire cet article très attentivement et agir rapidement pour résoudre le problème.
FileMaker Server n’affiche pas les connexions en place qui exploitent la faille dans la console d’administration ou dans les journaux. En fait, vous n’avez pas la possibilité d’intercepter l’intrusion en temps réel ou de vérifier que quelqu’un a eu un accès non autorisé aux fichiers.
Quand cette faille a-t-elle été découverte ?
La faille a été découverte à l’automne 2023 ; Claris a été informée et a remédié au problème en avril 2024, mais uniquement à partir de FileMaker 20.3.2 et sur FileMaker Server 19.6.4.
Le problème est donc résolu ?
Au contraire : toutes les versions de FileMaker Server antérieures à la version 19.6 et accessibles depuis un réseau sont vulnérables. Il n’y a aucun moyen de savoir, du côté de FileMaker, si quelqu’un a compromis le système.
Mais comment une telle situation a-t-elle pu se produire ? D’un point de vue technique, le problème dépend de trois facteurs :
- Le protocole utilisé par FileMaker pour communiquer entre le client et le serveur
- La façon dont FileMaker Server identifie les bases de données hébergées
- La méthode par laquelle le moteur FileMaker (Draco) gère les utilisateurs
La solution ? Mettez à jour FileMaker Server avec au moins la version 19.6.4.
Bien que des outils tels que les VPN ou autres réduisent le risque d’accès indésirable, le fait de ne pas mettre à niveau et de fermer l’accès externe au serveur n’est pas une solution permanente. En fait, une importante vulnérabilité du réseau interne subsiste.
Vous ne savez pas comment mettre à jour FileMaker Server ? Écrivez-nous maintenant !