DFN-CERT-2014-1074 BlackBerry Enterprise Service und Server, BlackBerry OS: Zwei Schwachstellen erlauben das Ausspähen von Informationen [Windows]

DFN-CERT-2014-1074 BlackBerry Enterprise Service und Server, BlackBerry OS: Zwei Schwachstellen erlauben das Ausspähen von Informationen [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

BlackBerry Enterprise Service >= 10.0
BlackBerry Enterprise Service <= 10.2.1 BlackBerry Enterprise Server <= 5.0.4 Mr6 Exchange Server BlackBerry Enterprise Server <= 5.0.4 Mr6 Groupwise BlackBerry Enterprise Server <= 5.0.4 Mr6 Lotus Domino BlackBerry OS >= 10.0
BlackBerry OS < 10.2.1.1925 Betroffene Plattformen: IBM Domino Microsoft Exchange Server Novell GroupWise BlackBerry Q5 BlackBerry Q10 BlackBerry Z10 BlackBerry Z30 Durch Ausnutzen dieser Schwachstellen kann in dem einen Fall ein entfernter, nicht authentisierter, aber kontext-abhängiger Angreifer, in dem anderen Fall ein lokaler, angemeldeter Benutzer, als Angreifer, sensitive Informationen ausspähen. Patch: Blackberry Security Advisory BSRT-2014-006 http://www.blackberry.com/btsc/KB36174

Patch:

Blackberry Security Advisory BSRT-2014-007

http://www.blackberry.com/btsc/KB36175

CVE-2014-2388: Schwachstelle in BlackBerry OS 10

Eine Schwachstelle in BlackBerry OS 10.x bevor 10.2.1.1925 auf Q5, Q10, Z10
und Z30-Geräten besteht darin, dass die Passwortanforderungen für
SMB-Dateisystemzugriff nicht erzwungen werden. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle in verschiedenen
Kontexten ausnutzen, um beliebige Dateien auszulesen: 1) innerhalb einer
Session über ein WiFi-Netzwerk, 2) innerhalb einer Session über eine
USB-Verbindung im Entwicklungsmodus.

CVE-2014-1469: Schwachstelle in BlackBerry Enterprise Service und Server

Eine Schwachstelle für BlackBerry Enterprise Server 5.x bevor 5.0.4 MR7 und
Enterprise Service 10.x bevor 10.2.2 besteht darin, dass während der
Bearbeitung von “Exceptions” “Credentials” im Klartext in eine Logdatei
geschrieben werden. Ein lokal angemeldeter Benutzer, als Angreifer, kann
diese Schwachstelle ausnutzen, indem er die “Exception Log”-Datei liest, um
sensitive Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1074/

Blackberry Security Advisory BSRT-2014-006:
http://www.blackberry.com/btsc/KB36174

Blackberry Security Advisory BSRT-2014-007:
http://www.blackberry.com/btsc/KB36175

Schwachstelle CVE-2014-1469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1469

Schwachstelle CVE-2014-2388 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2388

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben