CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/05/2013

Execució de codi en productes F-Secure per a servidors

F-Secure ha publicat un butlletí de seguretat que corregix una vulnerabilitat d’alt risc en diversos dels seus productes per a servidors. L’error podria permetre l’execució del codi SQL arbitrari en el sistema afectat.

Risc: Mitjà

La vulnerabilitat és a causa d’un error en un component DLL relacionat amb el control ActiveX, que podria permetre connexions amb el controlador ODBC (Open DataBase Connectivity, un estàndard d’accés a les bases de dades) quan s’utilitza el navegador web Internet Explorer.

Un atacant podria explotar esta vulnerabilitat i aconseguir executar sentències SQL arbitràries i persuadir un usuari perquè visite un lloc web especialment dissenyat si el servidor local utilitza l'autenticació local.

La vulnerabilitat ha sigut descoberta per Andrea Micalizzi, àlies rgod, i no disposa d’identificador CVE.

 

Sistemes Afectats:

F-Secure antivirus per a Microsoft Exchange Server 9.x
F-Secure antivirus per a Windows Servers 9.00
F-Secure antivirus per a Citrix Servers 9.00
F-Secure Correu electrònic i Server Security 9.20
F-Secure Server Security 9.20
F-Secure Protection Service per a Business (PSB) Correu electrònic i Server Security 9.20
F-Secure Protection Service per a Business (PSB) Server Security 9.20

Referències:

None

Solució:

F-Secure ha publicat pedaços que estan disponibles en l'FTP oficial per a tots estos productes, excepte per a PSB, l’actualització del qual es realitza de forma automàtica.

Notes:

FSC-2013-1: Remote code execution vulnerability in DLL component
F-Secure FTP
Hispasec una-al-dia

Font: Hispasec una-al-día

CSIRT-CV