发布日期：2009-04-28
更新日期：2009-04-30

受影响系统：

Symantec Client Security 3.1
Symantec Client Security 3.0
Symantec Client Security 2.0
Symantec AntiVirus Corporate Edition 9.0
Symantec AntiVirus Corporate Edition 10.2
Symantec AntiVirus Corporate Edition 10.1
Symantec AntiVirus Corporate Edition 10.0
Symantec Endpoint Protection 11.0

不受影响系统：

Symantec Client Security 3.1 MR8
Symantec Client Security 2.0 MR7
Symantec AntiVirus Corporate Edition 9.0 MR7
Symantec AntiVirus Corporate Edition 10.2 MR2
Symantec AntiVirus Corporate Edition 10.1 MR8
Symantec Endpoint Protection 11.0 MR3

描述：

---

BUGTRAQ  ID: 34675
CVE(CAN) ID: CVE-2009-1431

Symantec AntiVirus是非常流行的杀毒解决方案。

Symantec杀毒软件产品中捆绑有Symantec System Center以便管理员远程管理Symantec产品。Symantec System Center包含有一个名为警告管理系统控制台的可选组件，该组件会在TCP 12174端口上启动Intel File Transfer服务（XFR.EXE）。如果远程攻击者向XFR.EXE服务发送了特制请求的话，服务会从请求中获取字符串并用作所要执行新进程的路径。

攻击者可以创建到有漏洞主机的TCP会话，之后在文件共享或WebDav服务器上放置任意代码。向XFR.EXE服务发送UNC路径就会导致在用户机器上执行这些代码。

<*来源：iDEFENSE
  
  链接：http://secunia.com/advisories/34856/
        http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090428_02
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=786
*>

建议：

---

临时解决方法：

* 切换到Reporting管理警告，并禁用或卸载警告管理服务（AMS）。

厂商补丁：

Symantec
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.symantec.com/

浏览次数：3123
严重程度：0（网友投票）