Boletín de seguridad para BlackBerry Enterprise Service
BlackBerry ha publicado un boletín de seguridad para informar de una importante vulnerabilidad remota en su software BlackBerry Enterprise Service 10 (BES). Este producto, enfocado al mundo empresarial, se utiliza para la gestión multiplataforma (PC, Mac, iOS , Android y Blackberry OS) de todos sus dispositivos, móviles y tablets.
La vulnerabilidad (CVE-2013-3693) descubierta por el investigador Paul O’Grady de la empresa Security Compass, permitiría la ejecución remota de código, y se debería a unas incorrectas políticas de seguridad a la hora de restringir el acceso al entorno JBoss integrado en BES y utilizado por el servicio BlackBerry ‘Universal Device Service’ (UDS).
Debido a que es posible acceder a este entorno JBoss a través de una interfaz Java RMI (Remote Method Invocation), los atacantes pueden desplegar servidores maliciosos y realizar conexiones especialmente manipuladas a los puertos TCP de escucha 1098 y 1099.
Dado que este servicio se ejecuta con privilegios de administración, el atacante tendrá control total del sistema y podrá ejecutar código arbitrario, aunque es necesario conocer la dirección del servicio UDS para poder realizarlo.
Aunque no se alerta de exploits conocidos hasta el momento, se recomienda actualizar a la nueva versión ya disponible, V10.1.3 o aplicar las contramedidas disponibles.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.