Podatność CVE-2009-3035


Publikacja: 2010-02-02   Modyfikacja: 2012-02-13

Opis:
The web console in Symantec Altiris Notification Server 6.0.x before 6.0 SP3 R12 uses a hardcoded key that can decrypt SQL Server credentials and certain discovery credentials, and stores this key on the Notification Server machine, which allows local users to obtain sensitive information and possibly execute arbitrary code by decrypting and using these credentials.

CVSS2 => (AV:L/AC:L/Au:S/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
6.4/10
3.1/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Lokalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Symantec -> Altiris notification server 

 Referencje:
http://xforce.iss.net/xforce/xfdb/55952
http://www.vupen.com/english/advisories/2010/0256
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20100128_00
http://www.securitytracker.com/id?1023521
http://www.securityfocus.com/bid/37953
http://secunia.com/advisories/38356
http://osvdb.org/62010

Copyright 2024, cxsecurity.com

 

Back to Top