Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Symantec Altiris Deployment Solution versions 6.9.x ;
  • Symantec Altiris Notification Server versions 6.0.x ;
  • Symantec Management Platform versions 7.0.x.

Résumé

Une vulnérabilité dans Symantec Altiris permet d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité a été découverte dans un contrôle ActiveX, appelé AeXNSConsoleUtilities.dll, lié à Symantec Altiris. Ce fichier est téléchargé lors de la première connexion de la console Web d'administration du serveur. L'exploitation de cette vulnérabilité, qui nécessite une interaction avec un utilisateur, permet l'exécution de code arbitraire à distance.

Cette vulnérabilité est différente de celle décrite dans l'avis CERTA-2009-AVI-467.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation