Avisos 15 de October, 2013

Actualització de BlackBerry Enterprise Service

Blackberry ha publicat un butlletí de seguretat informant d'una vulnerabilitat d'execució remota de codi sobre el seu software BlackBerry Enterprise Service 10 (BES) que actualment no disposa d'exploit públic. Està disponible un pegat de seguretat que soluciona la vulnerabilitat.

Impacte
 
Execució remota de codi arbitrari.
 
Productes afectats
 
BlackBerry Enterprise Service 10.0, en el que s'hagi instal•lat BlackBerry Device Server o Universal Device Service, amb Oracle Java Runtime 7 (actualització 17 o anteriors) 
BlackBerry Enterprise Service versions 10.1 a 10.1.2 amb Oracle Java Runtime 7, actualitzacions 17 o anteriors.
 
Solució
 
Es recomana actualitzar a la versió 10.1.3, que soluciona la vulnerabilitat publicada.
Si no és possible actualitzar, es recomana prendre les mesures de mitigació que ha publicat BlackBerry al seu butlletí de seguretat, que resumidament són les següents:
       Editar el fitxer jboss-service.xml per permetre només a usuaris locals fer crides a la interfaç RMI.
       Bloquejar els ports 1098 i 1099 per previndre els accessos RMI.
       Actualitzar Java Runtime 7 a les actualitzacions 18 o posteriors.
Es pot obtenir més informació en detall al butlletí oficial de BlackBerry.
 
Detall
 
BSRT-2013-011
 
Existeix una vulnerabilitat per una incorrecta configuració de l'entorn JBoss que afecta a les versions BES10. Aquesta vulnerabilitat compromet una funcionalitat de la interfaç JBoss que serveix per que els administradors pugin paquets i els facin visibles als usuaris finals, però que no es fa servir a BES10. La vulnerabilitat permet en aquests sistemes que usuaris no administradors puguin pujar paquets, i si s'explota amb èxit, permeti a atacants remots executar codi arbitrari amb privilegis d'administrador. Per explotar la vulnerabilitat, l'atacant ha de fer ús de la interfaç RMI per servir un paquet maliciós a JBoss desde un segon servidor que no es bloquegi per un firewall.  
CVE-2013-3693
 
Referències
 
BSRT-2013-011
http://www.blackberry.com/btsc/KB35139