S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 03 novembre 2009
N° CERTA-2009-AVI-467
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Symantec Altiris

Gestion du document

Référence CERTA-2009-AVI-467
Titre Vulnérabilité dans Symantec Altiris
Date de la première version03 novembre 2009
Date de la dernière version03 novembre 2009
Source(s) Bulletin de sécurité Symantec SYM09-015 du 02 novembre 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Symantec Altiris Deployment Solution versions 6.9.x ;
  • Symantec Altiris Notification Server versions 6.0.x ;
  • Symantec Management Platform versions 7.0.x.

Résumé

Une vulnérabilité dans Symantec Altiris permet d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité a été découverte dans un contrôle ActiveX, appelé AeXNSConsoleUtilities.dll, lié à Symantec Altiris. Ce fichier est téléchargé lors de la première connexion à la console Web d'administration du serveur. L'exploitation de cette vulnérabilité, qui nécessite une interaction avec un utilisateur, permet l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 novembre 2009
    version initiale.