BlackBerry Enterprise Server管理API信息泄露漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Research In Motion Blackberry Enterprise Server for Novell Groupwise 5.0.1
 Research In Motion Blackberry Enterprise Server for Novell Groupwise 5.0.0
 Research In Motion Blackberry Enterprise Server for Exchange 5.0.3
 Research In Motion Blackberry Enterprise Server for Exchange 5.0.2
 Research In Motion Blackberry Enterprise Server for Exchange 5.0.1
 Research In Motion Blackberry Enterprise Server for Exchange 5.0 SP2
 Research In Motion Blackberry Enterprise Server for Exchange 5.0
 Research In Motion Blackberry Enterprise Server for Domino 5.0.3
 Research In Motion Blackberry Enterprise Server for Domino 5.0.2
 Research In Motion Blackberry Enterprise Server for Domino 5.0.1
 Research In Motion Blackberry Enterprise Server for Domino 5.0
 Research In Motion Blackberry Enterprise Server Express for Exchange 5.0.3
 Research In Motion Blackberry Enterprise Server Express for Exchange 5.0.2
 Research In Motion Blackberry Enterprise Server Express for Exchange 5.0.1
 Research In Motion Blackberry Enterprise Server Express for Exchange 5.0.0
 Research In Motion Blackberry Enterprise Server Express for Domino 5.0.3
 Research In Motion Blackberry Enterprise Server Express for Domino 5.0.2
 Research In Motion Blackberry Enterprise Server Express for Domino 5.0.0
 Research In Motion Blackberry Enterprise Server 5.0.2
 Research In Motion Blackberry Enterprise Server 5.0
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感文件内容。
 
攻击所需条件
攻击者必须访问BlackBerry管理服务。
 
漏洞信息
BlackBerry Enterprise Server是一款BlackBerry企业解决方案中的一个组件。
BlackBerry管理API是BlackBerry企业服务器组件,安装在服务器上用于支持BlackBerry管理服务。BlackBerry管理API包含多个WEB服务接收来自客户端应用程序的API请求,BlackBerry管理API然后转译请求到某个BlackBerry管理服务能处理的格式。
BlackBerry管理API存在一个漏洞允许攻击者读取BlackBerry企业服务器上仅包含可打印字符的文件,包括未加密文本文件。包括用于消息存储的两进制文件格式不受此漏洞影响。
 
 
测试方法
 
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27258#
 
漏洞提供者
Richard Leach of NGSSecure

发表评论?

0 条评论。

发表评论