Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Symantec Altiris Deployment Solution versions 6.9.x ;
- Symantec Altiris Notification Server versions 6.0.x ;
- Symantec Management Platform versions 7.0.x.
Résumé
Une vulnérabilité dans Symantec Altiris permet d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité a été découverte dans un contrôle ActiveX, appelé AeXNSConsoleUtilities.dll, lié à Symantec Altiris. Ce fichier est téléchargé lors de la première connexion à la console Web d'administration du serveur. L'exploitation de cette vulnérabilité, qui nécessite une interaction avec un utilisateur, permet l'exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Symantec SYM09-015 du 02 novembre 2009 :
- Référence CVE CVE-2009-3031 :
https://www.cve.org/CVERecord?id=CVE-2009-3031