Symantec杀毒软件Intel File Transfer服务任意代码执行漏洞

BUGTRAQ ID: 34675
CVE(CAN) ID: CVE-2009-1431

Symantec AntiVirus是非常流行的杀毒解决方案。

Symantec杀毒软件产品中捆绑有Symantec System Center以便管理员远程管理Symantec产品。Symantec System Center包含有一个名为警告管理系统控制台的可选组件，该组件会在TCP 12174端口上启动Intel File Transfer服务（XFR.EXE）。如果远程攻击者向XFR.EXE服务发送了特制请求的话，服务会从请求中获取字符串并用作所要执行新进程的路径。

攻击者可以创建到有漏洞主机的TCP会话，之后在文件共享或WebDav服务器上放置任意代码。向XFR.EXE服务发送UNC路径就会导致在用户机器上执行这些代码。

Symantec Client Security 3.1
Symantec Client Security 3.0
Symantec Client Security 2.0
Symantec AntiVirus Corporate Edition 9.0
Symantec AntiVirus Corporate Edition 10.2
Symantec AntiVirus Corporate Edition 10.1
Symantec AntiVirus Corporate Edition 10.0
Symantec Endpoint Protection 11.0
临时解决方法：

• 切换到Reporting管理警告，并禁用或卸载警告管理服务（AMS）。

厂商补丁：

Symantec

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://www.symantec.com/” target=“_blank”>http://www.symantec.com/</a>