发布日期：2010-01-28
更新日期：2010-02-01

受影响系统：

Symantec Altiris Notification Server 6.0.x

不受影响系统：

Symantec Altiris Notification Server 6.0 SP3 R12

描述：

---

BUGTRAQ  ID: 37953
CVE(CAN) ID: CVE-2009-3035

Symantec Altiris产品为Symantec所提供的IT生命周期管理解决方案。

Altiris产品所使用的Notification Server的Web控制台存储了管理员所输入凭据的静态加密密钥，本地用户可以读取这个凭据用户非授权访问发现信息，或在服务器上获得权限提升；此外如果系统配置为使用SQL服务器凭据进行数据库访问，这还可能导致非授权访问Notification Server数据库上的信息。

<*来源：Matthew Burnett
  
  链接：http://secunia.com/advisories/38356/
        http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20100128_00
*>

建议：

---

厂商补丁：

Symantec
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://kb.altiris.com/article.asp?article=46763&p=1

浏览次数：2790
严重程度：0（网友投票）