Symantec Altiris Deployment Solution の ListView コントロールにおけるシステム権限を取得される脆弱性
| Title |
Symantec Altiris Deployment Solution の ListView コントロールにおけるシステム権限を取得される脆弱性
|
| Summary |
Symantec Altiris Deployment Solution の Client GUI (AClient.exe) の ListView コントロールには、システム権限を取得される、および任意のコマンドを実行される脆弱性が存在します。
|
| Possible impacts |
ローカルユーザにより、以下の操作の隠し "コマンドプロンプト" GUI ボタンに対する "シャッター" 型攻撃を介して、システム権限を取得される、および任意のコマンドを実行される可能性があります。 (1) システム権限を使用する cmd.exe へのCommandLine パラメータを上書きする (2) LoadLibrary API 関数を使用して実行される DLL を変更する |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Oct. 20, 2008, midnight |
| Registration Date |
Dec. 20, 2012, 7:10 p.m. |
| Last Update |
Dec. 20, 2012, 7:10 p.m. |
|
CVSS2.0 : 警告
|
| Score |
6.8
|
| Vector |
AV:L/AC:L/Au:S/C:C/I:C/A:C |
Affected System
| シマンテック |
|
Altiris Deployment Solution 6.9.355 SP1 未満の 6.x
|
|
altiris notification server
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年12月20日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2008-6827
| Summary |
The ListView control in the Client GUI (AClient.exe) in Symantec Altiris Deployment Solution 6.x before 6.9.355 SP1 allows local users to gain SYSTEM privileges and execute arbitrary commands via a "Shatter" style attack on the "command prompt" hidden GUI button to (1) overwrite the CommandLine parameter to cmd.exe to use SYSTEM privileges and (2) modify the DLL that is loaded using the LoadLibrary API function.
|
| Publication Date |
June 9, 2009, 4:30 a.m. |
| Registration Date |
Jan. 29, 2021, 1:51 p.m. |
| Last Update |
Feb. 15, 2024, 2:26 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:symantec:altiris_deployment_solution:6.9.355:-:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:symantec:altiris_deployment_solution:*:*:*:*:*:*:*:* |
6.0 |
|
|
6.9.355 |
Related information, measures and tools
Common Vulnerabilities List