Denegación de servicio por tratamiento de archivos LHA en antivirus F-Secure

Se ha descubierto una vulnerabilidad en diversos productos antivirus de
F-Secure que podría ser explotada por usuarios maliciosos para provocar
una denegación de servicio.

El problema se debe a un error de comprobación de tamaños de variables
dentro del módulo que se encarga de acceder al contenidos de archivos
LHA durante el proceso de búsqueda de virus. Esta circunstancia puede
ser aprovechada creando un archivo LHA especialmente a tal efecto que
provocaría un desbordamiento de búfer.

Según el fabricante, la explotación con éxito de la vulnerabilidad
permitiría el reinicio del módulo afectado, aunque el impacto depende
del producto concreto y varía desde un degradado del rendimiento hasta
caídas del sistema, pasando por fallos a la hora de detectar virus.

Los productos afectados por el problema son los siguientes:
* F-Secure Anti-Virus para Workstation, versión 5.42 y anteriores
* F-Secure Anti-Virus para Windows Servers, versión 5.42 y anteriores
* F-Secure Anti-Virus para MIMEsweeper, versión 5.42 y anteriores
* F-Secure Anti-Virus Client Security, versión 5.52 y anteriores
* F-Secure Anti-Virus para MS Exchange 6.21, versión 5.52 y anteriores
* F-Secure Internet Gatekeeper, versión 6.32 y anteriores
* F-Secure para Firewalls, versión 6.20 y anteriores
* F-Secure Internet Security, versión 2004 y anteriores
* F-Secure Anti-Virus, versión 2004 y anteriores
* F-Secure Anti-Virus para Linux Workstations, versión 4.52 y anteriores
* F-Secure Anti-Virus para Linux Servers, versión 4.52 y anteriores
* F-Secure Anti-Virus para Linux Gateways, versión 4.52 y anteriores
* F-Secure Anti-Virus para Samba Servers, versión 4.60
* Solciones basadas en F-Secure Personal Express 4.5x, 4.6x y 4.7x

Las direcciones para descargar los parches de actualización que corrigen
este problema (según producto) son las siguientes:

F-Secure Anti-Virus para Workstations 5.41 y 5.42
ftp://ftp.f-secure.com/support/hotfix/fsav/fsavwk552-08-signed.fsfix

F-Secure Anti-Virus Client Security 5.50 y 5.52
ftp://ftp.f-secure.com/support/hotfix/fsavcs/fsavwk552-08-signed.fsfix

F-Secure Anti-Virus para MIMEsweeper 5.41 y 5.42
ftp://ftp.f-secure.com/support/hotfix/fsav-mime/fsavsr541-14-signed.fsfix

F-Secure Anti-Virus para Windows Servers 5.41 y 5.42
ftp://ftp.f-secure.com/support/hotfix/fsav-server/fsavsr541-14-signed.fsfix

F-Secure Anti-Virus para MS Exchange 6.21
ftp://ftp.f-secure.com/support/hotfix/fsav-mse/fscss631-03.fsfix

F-Secure Internet Gatekeeper 6.32
ftp://ftp.f-secure.com/support/hotfix/fsig/fscss631-03.fsfix

F-Secure para Firewalls 6.20
ftp://ftp.f-secure.com/support/hotfix/fsav-fw/fsavfw620-05.fsfix

F-Secure Anti-Virus para Linux Workstations 4.52
ftp://ftp.f-secure.com/support/hotfix/fsav-linux/fsav-4.52-hotfix4.tgz

F-Secure Anti-Virus para Linux Servers 4.52
ftp://ftp.f-secure.com/support/hotfix/fsav-linux/fsav-4.52-hotfix4.tgz

F-Secure Anti-Virus para Linux Gateways 4.52
ftp://ftp.f-secure.com/support/hotfix/fsav-linux/fsav-4.52-hotfix4.tgz

F-Secure Anti-virus para Samba Servers 4.60
ftp://ftp.f-secure.com/support/hotfix/fsav-samba/fsav-4.60-hotfix1.tgz

Más información:

Buffer overflow caused by malformed LHA archive
http://www.f-secure.com/security/fsc-2004-1.shtml

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog