发布日期：2008-10-20
更新日期：2008-10-22

受影响系统：

Symantec Altiris Deployment Solution 6.x

不受影响系统：

Symantec Altiris Deployment Solution 6.9.355 SP1

描述：

---

BUGTRAQ  ID: 31766

Symantec Altiris Deployment Solution是自动化的操作系统部署解决方案，用于从统一的位置部署和管理服务器、桌面和笔记本等。

Altiris客户端GUI的主窗口有一个隐藏按键，该按键的标题为“命令提示符”。点击这个按键会导致GUI试图用以下命令行参数调用CreateProcess()：
c:\Program Files\Altiris\AClient\cmd.exe

客户端GUI还有一个ListView控件，可用于覆盖进程内存。本地攻击者可以使用ListView覆盖静态指针，修改命令行参数，导致以SYSTEM级权限执行cmd.exe shell。

部署服务器代理使用LoadLibrary() API函数并传送数据段中字符串的静态地址。如果本地用户使用ListView覆盖数据段字符串，就可以导致代理加载恶意的dll文件。

aclient.exe代码：

004AA890   PUSH ESI
004AA891   PUSH EDI
004AA892   PUSH AClient.005858A0        ; ASCII "kernel32.dll"
004AA897   XOR EDI,EDI
004AA899   CALL DWORD PTR DS:[<&KERNEL32.LoadLibrar>;

然后恶意的dll文件就会生成以LocalSystem权限运行的命令shell。

<*来源：Brett Moore （brett.moore@SECURITY-ASSESSMENT.COM）
  
  链接：http://secunia.com/advisories/31773/
        http://www.symantec.com/avcenter/security/Content/2008.10.20a.html
        http://marc.info/?l=bugtraq&m=122460544316205&w=2
*>

建议：

---

厂商补丁：

Symantec
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.altiris.com/download.aspx

浏览次数：2764
严重程度：0（网友投票）