Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/04/2011
D'una banda, s'han publicat diverses vulnerabilitats provocades pel servidor Apatxe Tomcat, usat pel servei BlackBerry Administration, que poden ser explotades per a obtindre informació confidencial, manipular dades del servidor i provocar denegacions de servei (DoS) en aquest.
D'altra banda, s'han anunciat una altra fallada en el maneig i validació de certes entrades en BlackBerry Web Desktop Manager abans de respondre l'usuari. Aquest error pot ser explotat per atacants per a realitzar atacs de tipus Cross-Site Scripting, fent que el navegador de l'usuari execute codi Script o HTML maliciós.
Les versions afectades per la fallada en Apache Tomcat són:
Les versions de BlackBerry Enterprise Server Express entre la 5.0.1 i la 5.0.2 MR1 per a MS Exchange
La versió 5.0.2 de BlackBerry Enterprise Server Express per a Lotus Domino
Les versions de BlackBerry Enterprise Server entre la 4.1.4 i la 5.0.2 MR1 per a MS Exchange
Les versions de BlackBerry Enterprise Server entre la 4.1.4 i la 5.0.2 per a Lotus Domino
Les versions de BlackBerry Enterprise Server entre la 4.1.4 i la 5.0.1 per a GroupWise
Les versions afectades per la vulnerabilitat de XSS són:
La versió 5.0.1 de BlackBerry Enterprise Server Express per a MS Exchange
La versió 5.0.2 de BlackBerry Enterprise Server Express per a MS Exchange
La versió 5.0.2 de BlackBerry Enterprise Server Express per a Lotus Domino
Les versions de BlackBerry Enterprise Server entre la 5.0.0 i la 5.0.3 per a MS Exchange
Les versions de BlackBerry Enterprise Server entre la 5.0.0 i la 5.0.3 per a Lotus Domino
La versió 5.0.1 de BlackBerry Enterprise Server per a GroupWise
CVE-2007-1858, CVE-2007-3385, CVE-2007-5333, CVE-2008-1678, CVE-2008-5515, CVE-2009-3555, CVE-2010-2227, CVE-2011-0286
Solució:Per a succionar les vulnerabilitats provocades per Apache Tomcat, apliqueu el pedaç indicat en:
http://www.blackberry.com/btsc/KB25966
Per al problema de XSS, apliqueu el pedaç que es mostra en:
http://www.blackberry.com/btsc/KB26296
http://www.blackberry.com/btsc/KB25966
http://www.blackberry.com/btsc/KB26296
http://www.vupen.com/english/advisories/2011/0971
http://www.vupen.com/english/advisories/2011/0972
http://secunia.com/advisories/44166/
http://secunia.com/advisories/44183/