Vulnerability Bulletins |
Múltiples vulnerabilidades en Symantec Altiris Deployment Solution |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Symantec Altiris Deployment Solution 6.8.x Symantec Altiris Deployment Solution 6.9.x < 6.9.176 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en Symantec Altiris Deployment Solution 6.8.x y 6.9.x en versiones anteriores a 6.9.176. Las vulnerabilidades son descritas a continuación: - CVE-2008-2286: Se ha descubierto una vulnerabilidad de tipo inyección SQL. La vulnerabilidad reside en un error no especificado en la validación de la entrada. Un atacante remoto con acceso a la red podría ejecutar código arbitrario mediante una entrada especialmente diseñada. - CVE-2008-2287: La vulnerabilidad reside en un error de diseño al no pedir autenticación cuando se hace una petición de las credenciales. Un atacante remoto con acceso a la red podría obtener las credenciales cifradas del dominio Altiris Deployment Solution mediante una petición de las credenciales. - CVE-2008-2288: La vulnerabilidad reside en un error no especificado en la interfaz de usuario de "Altiris Deployment Solution’s Agent’s". Un atacante local podría acceder a una consola de comandos privilegiada mediante métodos no especificados. - CVE-2008-2289: La vulnerabilidad reside en un error no especificado en la interfaz de usuario gráfica "Tooltip". Un atacante local podría acceder a una consola de comandos privilegiada mediante métodos no especificados. - CVE-2008-2290: La vulnerabilidad reside en un error no especificado al crear claves de registro con acceso inseguro. Un atacante local podría modificar o eliminar las claves de registro mediante métodos no especificados. - CVE-2008-2291: La vulnerabilidad reside en un error no especificado. Un atacante local con acceso al directorio de instalación podría sustituir componentes de la aplicación con código arbitrario que seria ejecutado con privilegios "SYSTEM" mediante métodos no especificados. |
|
Solution |
|
|
Actualización de software Symantec Altiris Deployment Solution 6.9 / KB 41418 http://kb.altiris.com/ Hewlett-Packard (HPSBMA02369) Consultar solución Symantec |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2008-2286 CVE-2008-2287 CVE-2008-2288 CVE-2008-2289 CVE-2008-2290 CVE-2008-2291 |
| BID |
29198 29199 29194 29218 29196 29197 |
Other resources |
|
|
Symantec Security Advisory (SYM008-012) http://securityresponse.symantec.com/avcenter/security/Content/2008.05.14a.html HP SECURITY BULLETIN (HPSBMA02369) http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01548422-1 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-05-15 |
| 1.1 | CVE añadido, XF añadido, aviso emitido por HP (HPSBMA02369) | 2008-09-18 |