製品・ソフトウェアに関する情報
Vulnerability Search
Symantec Altiris Notification Server の Web コンソールにおける重要な情報を取得される脆弱性
Title Symantec Altiris Notification Server の Web コンソールにおける重要な情報を取得される脆弱性
Summary

Symantec Altiris Notification Server の Web コンソールは、SQL Server 資格情報および特定のディスカバリ資格情報を複合可能なハードコードされた鍵を使用するため、重要な情報を取得される、および任意のコードを実行される脆弱性が存在します。

Possible impacts ローカルユーザにより、SQL Server 資格情報および特定のディスカバリ資格情報を複合され使用されることで、重要な情報を取得される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Jan. 28, 2010, midnight
Registration Date Dec. 20, 2012, 7:28 p.m.
Last Update Dec. 20, 2012, 7:28 p.m.
CVSS2.0 : 警告
Score 4.3
Vector AV:L/AC:L/Au:S/C:P/I:P/A:P
Affected System
シマンテック
altiris notification server 6.0 SP3 R12 未満の 6.0.x
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-3035
Summary

The web console in Symantec Altiris Notification Server 6.0.x before 6.0 SP3 R12 uses a hardcoded key that can decrypt SQL Server credentials and certain discovery credentials, and stores this key on the Notification Server machine, which allows local users to obtain sensitive information and possibly execute arbitrary code by decrypting and using these credentials.

Publication Date Feb. 3, 2010, 1:30 a.m.
Registration Date Jan. 29, 2021, 1:22 p.m.
Last Update Aug. 17, 2017, 10:31 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:symantec:altiris_notification_server:6.0:*:*:*:*:*:*:*
cpe:2.3:a:symantec:altiris_notification_server:6.0:sp1:*:*:*:*:*:*
cpe:2.3:a:symantec:altiris_notification_server:6.0:sp2:*:*:*:*:*:*
cpe:2.3:a:symantec:altiris_notification_server:6.0:sp3:*:*:*:*:*:*
cpe:2.3:a:symantec:altiris_notification_server:6.0:sp3_r7:*:*:*:*:*:*
cpe:2.3:a:symantec:altiris_notification_server:6.0:sp3_r8:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List