Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- F-Secure Anti-Virus pour Microsoft Exchange 6.40 ;
- F-Secure Internet Gatekeeper versions 6.50, 6.42, 6.41 et 6.40.
Résumé
Une vulnérabilité dans la console web des produits F-Secure Anti-Virus pour Microsoft Exchange et F-Secure Internet Gatekeeper permet l'exécution de code arbitraire à distance.
Description
Une vulnérabilité de type débordement de mémoire a été découverte dans la console web (avant la phase d'authentification) pour les produits F-Secure Anti-Virus pour Microsoft Exchange et F-Secure Internet Gatekeeper. L'exploitation de cette vulnérabilité permet l'exécution de code arbitraire à distance. La configuration par défaut ne permet les connexions à cette console qu'en local (localhost).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité F-Secure FSC-2006-3 du 01 juin 2006 : http://www.f-secure.com/security/fsc-2006-3.shtml