Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/05/2013
Ejecución de código en productos F-Secure para servidores
F-Secure ha publicado un boletín de seguridad que corrige una vulnerabilidad de alto riesgo en varios de sus productos para servidores. El fallo podría permitir la ejecución de código SQL arbitrario en el sistema afectado.La vulnerabilidad se debe a un error en un componente DLL relacionado con el control ActiveX, que podría permitir conexiones con el driver ODBC (Open DataBase Connectivity, un estándar de acceso a las bases de datos) cuando se utiliza el navegador web Internet Explorer.
Un atacante podría explotar esta vulnerabilidad y lograr ejecutar sentencias SQL arbitrarias persuadiendo a un usuario para que visite un sitio web especialmente diseñado si el servidor local utiliza laautenticación local.
La vulnerabilidad ha sido descubierta por Andrea Micalizzi, alias rgod, y no dispone de identificador CVE.
Sistemas Afectados:F-Secure Anti-Virus para Microsoft Exchange Server 9.x
F-Secure Anti-Virus para Windows Servers 9.00
F-Secure Anti-Virus para Citrix Servers 9.00
F-Secure Email y Server Security 9.20
F-Secure Server Security 9.20
F-Secure Protection Service para Business (PSB) Email y Server Security 9.20
F-Secure Protection Service para Business (PSB) Server Security 9.20
None
Solución:F-Secure ha publicado parches que se encuentran disponibles en el FTP oficial para todos estos productos, salvo para PSB, cuya actualización se realiza de forma automática.
Notas:FSC-2013-1: Remote code execution vulnerability in DLL component
F-Secure FTP
Hispasec una-al-dia