Krytyczna luka w oprogramowaniu BlackBerry Enterprise Server

Zgodnie z opinią koncernu RIM, producenta urządzeń BlackBerry, odpowiednio spreparowane pliki PDF pozwalają potencjalnym napastnikom na przejęcie kontroli nad serwerami BlackBerry. Administratorzy powinni szybko zareagować, ponieważ w skali Common Vulnerability Scoring system (CVSS) waga usterki określona jest wartością 9.0 w skali 10-stopniowej.

Problem

Zgodnie z raportem o błędach problem spowodowany jest usterką w działającym w ramach usługi Attachment Service komponencie odpowiedzialnym za wyłuskiwanie dokumentów PDF załączonych w wiadomościach poczty elektronicznej. Dzięki temu procesowi użytkownicy telefonów BlackBerry mogą w łatwy sposób korzystać z dokumentów, używając wbudowanych przeglądarek.

Warunkiem koniecznym do wystąpienia błędu jest żądanie otworzenia pliku PDF wydane przez użytkownika posługującego się przenośnym urządzeniem BlackBerry.

Producent nie podaje szczegółów dotyczących natury usterki, jednak ujawnia, że pozwala ona na przemycenie i wykonanie dowolnego kodu na pośredniczącym w komunikacji serwerze. Podatne na występowanie błędów wydania to: BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) do wersji 4.1 Service Pack 5 (4.1.5), a także BlackBerry Unite! w edycjach starszych niż 1.0 Service Pack 1 (1.0.1) Bundle 36.

Rozwiązanie

Usterkę usunięto w wydaniu Bundle 36 pakietu BlackBerry Unite! Nie istnieje natomiast rozwiązanie problemu dla oprogramowania BlackBerry Enterprise Server, lecz w najbliższym czasie producent zamierza wydać odpowiednie aktualizacje.

Obejście

W ramach obejścia RIM proponuje do czasu ukazania się poprawek wyłączyć przetwarzanie dokumentów PDF w usłudze Attachment Service. Dokładny opis czynności, które należy wykonać, można znaleźć w podanym poniżej raporcie o błędach.