Vigil@nce - BlackBerry Enterprise Service : obtention d’information via les journaux d’activité
août 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer une erreur avec Enterprise Instant
Messenger de BlackBerry Enterprise Service, afin d’obtenir des
informations sensibles.
Produits concernés : BES
Gravité : 2/4
Date création : 14/08/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit BlackBerry Enterprise Service dispose d’un service de
messagerie instantanée.
L’accès à ce service nécessite une ouverture de session avec
authentification du client. Cependant, dans certaines conditions,
lorsqu’une erreur se produit au début ou en fin de session, le
serveur enregistre dans le journal d’activité les secrets utilisés
pour la protection des communications avec le client ou pour
l’authentification de ce dernier.
Un attaquant ayant accès aux journaux du serveur peut donc obtenir
des informations sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET