Multiples vulnérabilités dans Symantec Altiris Deployment Solution

Gestion du document

Référence	CERTA-2009-AVI-356
Titre	Multiples vulnérabilités dans Symantec Altiris Deployment Solution
Date de la première version	27 août 2009
Date de la dernière version	27 août 2009
Source(s)	Bulletin de sécurité Symantec SYM09-011 du 26 août 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Symantec Altiris Deployment Solution versions 6.9.x.

De multiples vulnérabilités dans Symantec Altiris Deployment Solution permettent, entre autres, d'exécuter du code arbitraire à distance.

De multiples vulnérabilités ont été découvertes dans Symantec Altiris Deployment Solution :

le système d'authentification de DBManager peut être contourné. Un attaquant peut ainsi modifier la base de données ;
l'interface graphique d'Aclient fonctionne avec les privilèges de l'utilisateur connecté. Un utilisateur du groupe Everyone a des droits en écriture sur l'exécutable de cette interface. Il peut donc le remplacer par un autre exécutable, ce qui peut mener à une élévation des privilèges ;
un utilisateur malintentionné contrôlant (ou simulant) un serveur Altiris peut envoyer des commandes à un client lors de la phase qui précède l'authentification ;
un attaquant peut intercepter les fichiers envoyés par le serveur à un client légitime.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Bulletin de sécurité Symantec SYM09-011 du 26 août 2009 :
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20090826_00http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20090826_00