BUGTRAQ ID: 37092
CVE(CAN) ID: CVE-2009-3033
Altiris Notification Server、Management Platform和Altiris Deployment Solution都是Symantec的网管和部署解决方案。
在初次连接到Altiris Deployment Solution等产品管理服务器的Web控制台时会安装一个Altiris eXpress NS Console Utilities ActiveX控件(AeXNSConsoleUtilities.dll)以授权到服务器的管理员访问,而该控件的RunCmd()函数存在缓冲区溢出漏洞。如果用户受骗访问了恶意网页并向该函数传送了超长参数的话,就可以触发这个溢出,导致执行任意指令。
Symantec Altiris Deployment Solution 6.9.x
Symantec Altiris Notification Server 6.0.x
Symantec Management Platform 7.0.x
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://kb.altiris.com/article.asp?article=50279&p=1
https://kb.altiris.com/article.asp?article=50072&p=1