Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- BlackBerry Enterprise Server versions 5.0.1 à 5.0.3 MR2 pour Microsoft Exchange ;
- BlackBerry Enterprise Server versions 5.0.1 à 5.0.3 MR2 pour IBM Lotus Domino ;
- BlackBerry Enterprise Server version 4.1.7 et versions 5.0.1 à 5.0.1 MR3 pour Novell Groupwise ;
- BlackBerry Enterprise Server Express versions 5.0.1 à 5.0.3 pour Microsoft Exchange ;
- BlackBerry Enterprise Server Express versions 5.0.1 et 5.0.2 pour IBM Lotus Domino.
Résumé
Plusieurs vulnérabilités ont été corrigées dans BlackBerry Enterprise Server, qui permettent l'exécution de code arbitraire à distance.
Description
Plusieurs vulnérabilités ont été corrigées dans des bibliothèques de traitement des images intégrées dans BlackBerry Enterprise Server. Une exploitation peut se faire en incitant un utilisateur à visiter avec son ordiphone un site Web contenant une page spécialement conçue ; une autre consiste à l'envoi d'une image PNG ou TIFF spécialement conçue via un email à un utilisateur (l'exploitation a lieu même si l'utilisateur n'ouvre pas le message). Dans les deux cas, le résultat de l'exploitation réussie de ces vulnérabilités est l'exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité BlackBerry KB27244 du 09 août 2011 :
http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27244
- Référence CVE CVE-2010-1205 :
https://www.cve.org/CVERecord?id=CVE-2010-1205
- Référence CVE CVE-2010-2595 :
https://www.cve.org/CVERecord?id=CVE-2010-2595
- Référence CVE CVE-2010-3087 :
https://www.cve.org/CVERecord?id=CVE-2010-3087
- Référence CVE CVE-2011-0192 :
https://www.cve.org/CVERecord?id=CVE-2011-0192
- Référence CVE CVE-2011-1167 :
https://www.cve.org/CVERecord?id=CVE-2011-1167
