Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Symantec Altiris Deployment Solution |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Symantec Altiris Deployment Solution 6.8.x Symantec Altiris Deployment Solution 6.9.x < 6.9.176 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Symantec Altiris Deployment Solution 6.8.x y 6.9.x en versiones anteriores a 6.9.176. Las vulnerabilidades son descritas a continuación: - CVE-2008-2286: Se ha descubierto una vulnerabilidad de tipo inyección SQL. La vulnerabilidad reside en un error no especificado en la validación de la entrada. Un atacante remoto con acceso a la red podría ejecutar código arbitrario mediante una entrada especialmente diseñada. - CVE-2008-2287: La vulnerabilidad reside en un error de diseño al no pedir autenticación cuando se hace una petición de las credenciales. Un atacante remoto con acceso a la red podría obtener las credenciales cifradas del dominio Altiris Deployment Solution mediante una petición de las credenciales. - CVE-2008-2288: La vulnerabilidad reside en un error no especificado en la interfaz de usuario de "Altiris Deployment Solution’s Agent’s". Un atacante local podría acceder a una consola de comandos privilegiada mediante métodos no especificados. - CVE-2008-2289: La vulnerabilidad reside en un error no especificado en la interfaz de usuario gráfica "Tooltip". Un atacante local podría acceder a una consola de comandos privilegiada mediante métodos no especificados. - CVE-2008-2290: La vulnerabilidad reside en un error no especificado al crear claves de registro con acceso inseguro. Un atacante local podría modificar o eliminar las claves de registro mediante métodos no especificados. - CVE-2008-2291: La vulnerabilidad reside en un error no especificado. Un atacante local con acceso al directorio de instalación podría sustituir componentes de la aplicación con código arbitrario que seria ejecutado con privilegios "SYSTEM" mediante métodos no especificados. |
|
Solución |
|
Actualización de software Symantec Altiris Deployment Solution 6.9 / KB 41418 http://kb.altiris.com/ Hewlett-Packard (HPSBMA02369) Consultar solución Symantec |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2008-2286 CVE-2008-2287 CVE-2008-2288 CVE-2008-2289 CVE-2008-2290 CVE-2008-2291 |
BID |
29198 29199 29194 29218 29196 29197 |
Recursos adicionales |
|
Symantec Security Advisory (SYM008-012) http://securityresponse.symantec.com/avcenter/security/Content/2008.05.14a.html HP SECURITY BULLETIN (HPSBMA02369) http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01548422-1 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2008-05-15 |
1.1 | CVE añadido, XF añadido, aviso emitido por HP (HPSBMA02369) | 2008-09-18 |