ZeroBox Vulnerability Database

漏洞起因
竞争条件错误
 
影响系统
Symantec Altiris Deployment Solution 6.9.355 SP1
Symantec Altiris Deployment Solution 6.9.355
Symantec Altiris Deployment Solution 6.9.176
Symantec Altiris Deployment Solution 6.9.164
Symantec Altiris Deployment Solution 6.9 SP1
Symantec Altiris Deployment Solution 6.9
 
不受影响系统
Symantec Altiris Deployment Solution 6.9 SP3 Build 430
 
危害
远程攻击者可以利用漏洞获得文件信息或进行拒绝服务攻击。
 
攻击所需条件
攻击者必须访问Symantec Altiris Deployment Solution。
 
漏洞信息
Symantec Altiris Deployment Solution是一款自动化的操作系统部署解决方案，用于从统一的位置部署和管理服务器、桌面和笔记本等。
Symantec Altiris Deployment Solution包含从服务器传送文件到配置的客户端的功能，能访问此段网络并了解文件传送指派的端口的恶意用户，可通过发送多个合法连接到此文件传送端口，通过竞争条件，截获之前合法用户访问过的文件。成功利用此漏洞，可导致未授权文件访问或进行拒绝服务攻击。如果从配置服务器上下载了目标文件，那么服务器就会假定这些文件已经被授权的客户端下载，并不再对客户端进行更新。
 
测试方法
 
厂商解决方案
用户可参考如下安全公告获得补丁信息：
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090826_00
 
漏洞提供者
Luke Jennings with MWRInfosecurity