F-Secure ha publicado un boletín de seguridad que corrige una vulnerabilidad de alto riesgo en varios de sus productos para servidores. El fallo podría permitir la ejecución de código SQL arbitrario en el sistema afectado.

La vulnerabilidad se debe a un error en un componente DLL relacionado con el control ActiveX, que podría permitir conexiones con el driver ODBC (Open DataBase Connectivity, un estándar de acceso a las bases de datos) cuando se utiliza el navegador web Internet Explorer.
 
Un atacante podría explotar esta vulnerabilidad y lograr ejecutar sentencias SQL arbitrarias persuadiendo a un usuario para que visite un sitio web especialmente diseñado si el servidor local utiliza laautenticación local.
 
La vulnerabilidad ha sido descubierta por Andrea Micalizzi, alias rgod, y no dispone de identificador CVE.
 
Los productos afectados son los siguientes:

 •* F-Secure Anti-Virus para Microsoft Exchange Server 9.x
 •* F-Secure Anti-Virus para Windows Servers 9.00
 •* F-Secure Anti-Virus para Citrix Servers 9.00
 •* F-Secure Email y Server Security 9.20
 •* F-Secure Server Security 9.20
 •* F-Secure Protection Service para Business (PSB) Email y Server
 •Security 9.20
 •* F-Secure Protection Service para Business (PSB) Server Security 9.20
 

F-Secure ha publicado parches que se encuentran disponibles en el FTP oficial (http://ftp://ftp.f-secure.com/support/hotfix/) para todos estos productos, salvo para PSB cuya actualización se realiza de forma automática.
 
Más información:
 
FSC-2013-1: Remote code execution vulnerability in DLL component http://www.f-secure.com/en/web/labs_global/fsc-2013-1
 
F-Secure FTP http://ftp://ftp.f-secure.com/support/hotfix/

http://www.laflecha.net/canales/seguridad/noticias/ejecucion-de-codigo-en-productos-f-secure-para-servidores