Использование небезопасного метода в Altirix eXpress NS SC Download ActiveX компоненте

Дата публикации:
11.09.2009
Дата изменения:
03.11.2009
Всего просмотров:
1328
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Altiris Deployment Solution 6.x
Altirix eXpress NS SC Download ActiveX Control 6.x
Altiris Notification Server 6.x
Symantec Management Platform 7.x
Уязвимые версии:
Altiris Deployment Solution 6.9 SP3
Altirix eXpress NS SC Download ActiveX Control 6.x
Altiris Notification Server 6.x
Symantec Management Platform 7.x

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за того, что Altiris.AeXNSPkgDL.1 ActiveX компонент ("AeXNSPkgDLLib.dll" версии 6.0.0.1418) использует небезопасный метод "DownloadAndInstall()". Удаленный пользователь может с помощью специально сформированного Web сайта загрузить и выполнить произвольные файлы на системе.

URL производителя: www.altiris.com

Решение: Установите исправление с сайта производителя.

https://kb.altiris.com/article.asp?article=49069&p=1

Журнал изменений:

03.11.2009
Добавлены уязвимые приложения, добавлена ссылка на уведомление производителя, изменена секция «Решение».

Ссылки: SYM09-013: Security Advisories Relating to Symantec Products - Symantec Altiris Deployment Solution and Notification Server Management Console FileDownload Vulnerability
http://trac.metasploit.com/browser/framework3/trunk/modules/exploits/windows/browser/symantec_altirisdeployment_downloadandinstall.rb?rev=7023