VULHUB ™

BUGTRAQ ID: 31766 Symantec Altiris Deployment Solution是自动化的操作系统部署解决方案，用于从统一的位置部署和管理服务器、桌面和笔记本等。 Altiris客户端GUI的主窗口有一个隐藏按键，该按键的标题为“命令提示符”。点击这个按键会导致GUI试图用以下命令行参数调用CreateProcess()： c:\Program Files\Altiris\AClient\cmd.exe 客户端GUI还有一个ListView控件，可用于覆盖进程内存。本地攻击者可以使用ListView覆盖静态指针，修改命令行参数，导致以SYSTEM级权限执行cmd.exe shell。 部署服务器代理使用LoadLibrary() API函数并传送数据段中字符串的静态地址。如果本地用户使用ListView覆盖数据段字符串，就可以导致代理加载恶意的dll文件。 aclient.exe代码：<pre>004AA890 PUSH ESI 004AA891 PUSH EDI 004AA892 PUSH AClient.005858A0 ; ASCII &quot;kernel32.dll&quot; 004AA897 XOR EDI,EDI 004AA899 CALL DWORD PTR DS:[&lt;&amp;KERNEL32.LoadLibrar&gt;;</pre> 然后恶意的dll文件就会生成以LocalSystem权限运行的命令shell。 Symantec Altiris Deployment Solution 6.x Symantec -------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.altiris.com/download.aspx target=_blank>http://www.altiris.com/download.aspx</a>

BUGTRAQ ID: 31766 Symantec Altiris Deployment Solution是自动化的操作系统部署解决方案，用于从统一的位置部署和管理服务器、桌面和笔记本等。 Altiris客户端GUI的主窗口有一个隐藏按键，该按键的标题为“命令提示符”。点击这个按键会导致GUI试图用以下命令行参数调用CreateProcess()： c:\Program Files\Altiris\AClient\cmd.exe 客户端GUI还有一个ListView控件，可用于覆盖进程内存。本地攻击者可以使用ListView覆盖静态指针，修改命令行参数，导致以SYSTEM级权限执行cmd.exe shell。 部署服务器代理使用LoadLibrary() API函数并传送数据段中字符串的静态地址。如果本地用户使用ListView覆盖数据段字符串，就可以导致代理加载恶意的dll文件。 aclient.exe代码：<pre>004AA890 PUSH ESI 004AA891 PUSH EDI 004AA892 PUSH AClient.005858A0 ; ASCII &quot;kernel32.dll&quot; 004AA897 XOR EDI,EDI 004AA899 CALL DWORD PTR DS:[&lt;&amp;KERNEL32.LoadLibrar&gt;;</pre> 然后恶意的dll文件就会生成以LocalSystem权限运行的命令shell。 Symantec Altiris Deployment Solution 6.x Symantec -------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.altiris.com/download.aspx target=_blank>http://www.altiris.com/download.aspx</a>