发布日期：2009-08-26
更新日期：2009-08-27

受影响系统：

Symantec Altiris Deployment Solution 6.9.x

不受影响系统：

Symantec Altiris Deployment Solution 6.9 SP3 Build 430

描述：

---

BUGTRAQ  ID: 36112
CVE ID: CVE-2009-3110

Symantec Altiris Deployment Solution是自动化的操作系统部署解决方案，用于从统一的位置部署和管理服务器、桌面和笔记本等。

Altiris Deployment Solution在使用AClient代理时，可使用一个选项在部署服务器和客户端系统之间提供基于密钥的认证。实现这种认证后，客户端与服务器之间的通讯是安全的，但在认证握手之前存在一个可绕过认证的机会窗口。当客户端系统刚刚启动或需要重新连接到部署解决方案服务器时，网络中可访问或能够扮演为部署服务器的恶意用户可以在握手之前向客户端发布备选命令，而客户端会认为这些命令有效并以SYSTEM级权限实现。

<*来源：Luke Jennings
  
  链接：http://secunia.com/advisories/30261/
        http://secunia.com/advisories/36502/
*>

建议：

---

厂商补丁：

Symantec
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.altiris.com/download.aspx

浏览次数：2302
严重程度：0（网友投票）