Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • F-Secure Anti-Virus pour Microsoft Exchange 6.40 ;
  • F-Secure Internet Gatekeeper versions 6.50, 6.42, 6.41 et 6.40.

Résumé

Une vulnérabilité dans la console web des produits F-Secure Anti-Virus pour Microsoft Exchange et F-Secure Internet Gatekeeper permet l'exécution de code arbitraire à distance.

Description

Une vulnérabilité de type débordement de mémoire a été découverte dans la console web (avant la phase d'authentification) pour les produits F-Secure Anti-Virus pour Microsoft Exchange et F-Secure Internet Gatekeeper. L'exploitation de cette vulnérabilité permet l'exécution de code arbitraire à distance. La configuration par défaut ne permet les connexions à cette console qu'en local (localhost).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation