Risque
- Déni de service à distance ;
- atteinte à la confidentialité des données ;
- injection de code indirecte à distance.
Systèmes affectés
- BlackBerry Enterprise Server Express versions 5.0.1 et 5.0.2 MR1 pour Microsoft Exchange ;
- BlackBerry Enterprise Server Express version 5.0.2 pour IBM Lotus Domino ;
- BlackBerry Enterprise Server versions 4.1.4 à 5.0.2 MR1 pour Microsoft Exchange ;
- BlackBerry Enterprise Server versions 4.1.4 à 5.0.2 pour IBM Lotus Domino ;
- BlackBerry Enterprise Server versions 4.1.4 à 5.0.1 pour Novell GroupWise.
Résumé
De multiples vulnérabilités ont été corrigées dans les produits BlackBerry Enterprise Server, avec des impacts variés.
Description
Les produits BlackBerry Enterprise Server contiennent une version vulnérable du serveur Web Apache. Les vulnérabilités peuvent être exploitées par un attaquant pour exécuter du code de manière indirecte, accéder à des données confidentielles et altérer le service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité BlackBerry KB25966 du 12 avril 2011 :
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB25966
- Référence CVE CVE-2007-3385 :
https://www.cve.org/CVERecord?id=CVE-2007-3385
- Référence CVE CVE-2007-5333 :
https://www.cve.org/CVERecord?id=CVE-2007-5333
- Référence CVE CVE-2008-1678 :
https://www.cve.org/CVERecord?id=CVE-2008-1678
- Référence CVE CVE-2008-5515 :
https://www.cve.org/CVERecord?id=CVE-2008-5515
- Référence CVE CVE-2007-1858 :
https://www.cve.org/CVERecord?id=CVE-2007-1858
- Référence CVE CVE-2009-3555 :
https://www.cve.org/CVERecord?id=CVE-2009-3555
- Référence CVE CVE-2010-2227 :
https://www.cve.org/CVERecord?id=CVE-2010-2227