PDF distiller に関する BlackBerry Enterprise Server の BlackBerry Attachment Service の脆弱性
環境
- BlackBerry® Enterprise Server ソフトウェアバージョン 4.1 サービスパック 3(4.1.3)から 4.1 サービスパック 5(4.1.5)
- BlackBerry® Professional Software 4.1 サービスパック 4(4.1.4)
概要
このアドバイザリーでは BlackBerry Enterprise Server の BlackBerry Attachment Service コンポーネントが影響を受ける可能性のあるセキュリティに関して記載されています。 この問題は BlackBerry Attachment Service の PDF ファイルの処理に影響を与える BlackBerry Attachment Service の PDF distiller コンポーネントの既知の脆弱性と関連があります。
この脆弱性は Common Vulnerability Scoring System(CVSS)のスコア 9.0 になります。
問題
BlackBerry Attachment Service の PDF distiller のセキュリティの脆弱性は悪意のある個人がメールに特殊な PDF ファイルを添付することにより、BlackBerry Attachment Service が実行されているコンピュータで任意のコードを実行できる可能性があります。BlackBerry Enterprise Server の BlackBerry ユーザーが BlackBerry スマートフォンで添付された特殊な PDF ファイルを開き、表示した場合、任意のコードが実行されコンピュータが危険にさらされる可能性があります。
解決方法
BlackBerry Enterprise Server ソフトウェアバージョン 4.1 サービスパック 6(4.1.6)にアップグレードしてください。
Research In Motion(RIM)では、この脆弱性の影響を受ける BlackBerry Enterprise Server および BlackBerry Professional Software の以前のバージョン向けの暫定的なセキュリティソフトウェアアップデートも提供しています。
BlackBerry Enterprise Server の場合
http://www.blackberry.com/go/serverdownloads にアクセスして、この脆弱性の影響を受ける BlackBerry Enterprise Server ソフトウェアバージョン 4.1.6 以前のバージョン向けの暫定的なセキュリティソフトウェアアップデートを入手してください。
BlackBerry Professional Software の場合
http://na.blackberry.com/eng/support/downloads/#tab_professional にアクセスして、この脆弱性の影響を受ける BlackBerry Professional Software バージョン向けの暫定的なセキュリティソフトウェアアップデートを入手してください。
ワークアラウンド
メモ:モバイル端末の最善策として、Research In Motion(RIM)は BlackBerry スマートフォンユーザーに信頼できる送信元からの添付ファイルのみを開くことを推奨します。
BlackBerry Enterprise Server 環境で、BlackBerry Attachment Service が PDF ファイルの処理をすることを防止します。
BlackBerry Attachment Service が PDF ファイルを処理することを防ぐには、BlackBerry Attachment Service が開くファイルフォーマットの拡張子リストを編集し、BlackBerry Attachment Service で PDF attachment distiller が実行されることを防ぎます。
PDF ファイル拡張子をサポートされているファイル拡張子をリストから削除するには、次の操作を実行します。:
- Windows® デスクトップから、BlackBerry Server Configuration ツールを開きます。
- [添付ファイルサーバー]タブをクリックします。
- [形式拡張子]フィールドで、コロンで区切られた拡張子リストから pdf: を削除します。
- [適用]をクリックします。
- [OK]をクリックします。
PDF attachment distiller の実行を防ぐまで、BlackBerry Attachment Service は拡張子を変更された(この場合、拡張は .pdf 以外になります)PDF ファイルを検出し、自動で処理を開始します。 PDF attachment distiller の実行を防ぐには次の操作を実行します:
- Windows® デスクトップから、BlackBerry Server Configuration ツールを開きます。
- [添付ファイルサーバー]タブをクリックします。
- [設定オプション]ドロップダウンリストから、[添付ファイルサーバー]を選択します。
- [抽出プログラム設定]セクションで、Distiller Name が Adobe PDF の左に表示される[Enabled]チェックボックスをオフにします。
- [適用]をクリックします。
- [OK]をクリックします。
- Windows デスクトップから、管理ツールを選択し、[サービス]を開きます。
- [BlackBerry Attachment Service]を右クリックし、[停止]をクリックします。
- [BlackBerry Attachment Service]を右クリックし、[開始]をクリックします。
- [サービス]を閉じます。
Microsoft® Exchange と Novell® GroupWise® 環境では、次の追加手順を実行します。
- Windows デスクトップから、管理ツールを選択し、[サービス]を開きます。
- [BlackBerry Dispatcher]を右クリックし、[停止]をクリックします。
- [BlackBerry Dispatcher]を右クリックし、[開始]をクリックします。
- [サービス]を閉じます。
重要:特定の BlackBerry Enterprise Server サービスを再起動することで、BlackBerry スマートフォンへのメールの送信に遅延が発生することがあります。 詳細については、KB04789 を参照してください。
IBM® Lotus® Domino® 環境では、次の追加手順を実行します。
- IBM Lotus Domino Administrator を開きます。
- [サーバー]タブをクリックします。
- [ステータス]タブをクリックします。
- [サーバーコンソール]をクリックします。
- [Lotus Domino]コマンドフィールドで、「tell BES quit」と入力し、ENTER を押します。
- [Lotus Domino]コマンドフィールドで、「load BES」と入力し、ENTER を押します。
- IBM Lotus Domino Administrator を閉じます。
追加情報
BlackBerry Attachment Service をリモートコンピュータにインストールし、そのコンピュータを独自のネットワークセグメントに配置することにより、BlackBerry Attachment Service からの会社内のネットワークの他のコンピュータへの攻撃の可能性を防ぐことができます。 セグメント化されたネットワークでは、攻撃をネットワークの 1 つのエリアのみに隔離し、抑えます。 セグメント化されたネットワーク構成は、他のネットワークセグメントで用いる事を想定していない添付データをフィルターすることにより、BlackBerry Attachment Service のセキュリティとパフォーマンスを向上することができます。 BlackBerry Enterprise Solution のコンポーネントをマルウェアの攻撃の可能性の拡大から防ぐために、セグメント化されたネットワーク構成に配置する方法の詳細に関しては、Placing the BlackBerry Enterprise Solution in a Segmented Network を参照してください。
BlackBerry セキュリティに関する詳しい情報は、www.blackberry.com/security を参照してください。
CVSS は脆弱性の評価に関するベンダーに依存しない、オープンな評価方法です。 CVSS スコアは組織内での更新への対応の緊急度を決定するために使用されることがあります。 CVSS スコアは 0.0(脆弱性なし)から 10.0(緊急度の高い)の範囲になります。 RIM は CVSS の 脆弱性評価をセキュリティに関して定量的に評価できるよう使用しています。 RIM はすべてのセキュリティに関する問題を 0 以外のスコアとしています。
このページを印刷する