S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 27 août
2009
No CERTA-2009-AVI-356 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Symantec Altiris Deployment
Solution
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-356 |
| Titre |
Multiples
vulnérabilités dans Symantec
Altiris Deployment Solution |
| Date de la première
version |
27 août 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Symantec SYM09-011 du 26
août 2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- atteinte à la confidentialité des
données ;
- élévation de privilèges.
Symantec Altiris Deployment
Solution versions 6.9.x.
De multiples vulnérabilités dans Symantec Altiris Deployment Solution
permettent, entre autres, d'exécuter du code arbitraire
à distance.
De multiples vulnérabilités ont
été découvertes dans Symantec Altiris Deployment Solution :
- le système d'authentification de
DBManager peut être contourné. Un
attaquant peut ainsi modifier la base de données
;
- l'interface graphique d'Aclient fonctionne avec
les privilèges de l'utilisateur connecté. Un
utilisateur du groupe Everyone a des droits en
écriture sur l'exécutable de cette interface.
Il peut donc le remplacer par un autre exécutable, ce
qui peut mener à une élévation des
privilèges ;
- un utilisateur malintentionné contrôlant (ou
simulant) un serveur Altiris peut
envoyer des commandes à un client lors de la phase qui
précède l'authentification ;
- un attaquant peut intercepter les fichiers envoyés
par le serveur à un client légitime.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 27 août 2009
- version initiale.
CERTA
2012-01-04
|
)
