Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Symantec Altiris Deployment Solution versions 6.9.x ;
- Symantec Altiris Notification Server versions 6.0.x ;
- Symantec Management Platform versions 7.0.x.
Résumé
Une vulnérabilité dans Symantec Altiris permet d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité a été découverte dans un contrôle ActiveX, appelé AeXNSConsoleUtilities.dll, lié à Symantec Altiris. Ce fichier est téléchargé lors de la première connexion de la console Web d'administration du serveur. L'exploitation de cette vulnérabilité, qui nécessite une interaction avec un utilisateur, permet l'exécution de code arbitraire à distance.
Cette vulnérabilité est différente de celle décrite dans l'avis CERTA-2009-AVI-467.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Symantec SYM09-016 du 24 novembre 2009 :
- Référence CVE CVE-2009-3033 :
https://www.cve.org/CVERecord?id=CVE-2009-3033