Уязвимости в Alert Management System 2 в продуктах Symantec

Дата публикации:
13.05.2009
Дата изменения:
30.07.2010
Всего просмотров:
3211
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
4
CVSSv2 рейтинг:
(AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:8.3/Temporal:6.1
(AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:8.3/Temporal:6.1
(AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:8.3/Temporal:6.1
(AV:A/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:O/RC:C) = Base:8.3/Temporal:6.9
CVE ID:
CVE-2009-1429
CVE-2009-1430
CVE-2009-1431
CVE-2009-1432
Вектор эксплуатации:
Локальная сеть
Воздействие:
Повышение привилегий
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Symantec AntiVirus Corporate Edition 9.x
Symantec AntiVirus Corporate Edition 10.x
Symantec Client Security 2.x
Symantec Client Security 3.x
Symantec Endpoint Protection 11.x
Symantec AMS Intel Alert Handler Service Remote Code Execution Exploit
Уязвимые версии:
Symantec AntiVirus Corporate Edition 9.0 MR6 and prior, 10.0 (все версии), 10.1 MR7 и более ранние версии, и 10.2 MR1 и более ранние версии.
Symantec Client Security 2.0 MR6 и более ранние версии, 3.0 (все версии) и 3.1 MR7, и более ранние версии.
Symantec Endpoint Protection 11.0 MR2 и более ранние версии.

Описание:
Обнаруженные уязвимости позволяют злоумышленнику повысить свои привилегии и скомпрометировать целевую систему.

1. Уязвимость существует из-за неизвестной ошибки в Intel LANDesk Common Base Agent (CBA), которая позволяет передать содержимое пакета в качестве аргумента функции "CreateProcessA()". Удаленный пользователь может отправить специально сформированный TCP пакет на порт 12174 и выполнить произвольные команды на системе с привилегиями учетной записи SYSTEM.

2. Уязвимость существует из-за ошибки проверки границ данных в службе Intel Alert Originator Service (iao.exe). Удаленный пользователь может отправить специально сформированный TCP пакет на порт 38292, вызвать переполнение стека и выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM.

3. Уязвимость существует из-за ошибки проверки границ данных в службе Intel Alert Originator Service (iao.exe) при обработке входных данных от процесса MsgSys.exe. Злоумышленник может вызвать переполнение стека и выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM.

4. Уязвимость существует из-за ошибки дизайна в службе Intel File Transfer Service (XFR.EXE) при обработке путей к программам в запорсах, отправленных на порт 12174/TCP. Злоумышленник, способный установить TCP соединение с уязвимой системой, может выполнить произвольный код на системе с привилегиями учетной записи SYSTEM.

URL производителя: www.symantec.com

Решение: Установите последнюю версию с сайта производителя.

Ссылки: SYM09-007: Security Advisories Relating to Symantec Products - Symantec Alert Management System 2 multiple vulnerabilities
ZDI-09-018: Symantec Client Security Alert Originator Service Stack Overflow Vulnerability
iDefense Security Advisory 04.29.09: Symantec System Center Alert Management System Console Arbitrary Program Execution Design Error Vulnerability
Журнал изменений: 30.07.2010
Добавлен PoC код к уязвимости #4.

или введите имя

CAPTCHA