Novell ZENWorks AdminStudio ISProxy 'ISProxy.dll' Activex远程

发布日期：2013-03-22
更新日期：2013-03-26

受影响系统：
Novell ZENworks Configuration Management 11.2
 Novell ZENworks Configuration Management 11.1
 Novell ZENworks Configuration Management 10.3
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 58664
 CVE(CAN) ID: CVE-2013-1079
 
Novell ZENworks Configuration Management是ZENworks系统网关工具中的配置管理解决方案。
 
Novell ZENWorks AdminStudio在ISProxy.dll ActiveX对象中存在漏洞，ISCreateObject()方法内存在目录漏洞，通过空字符可以截断搜索路径。结合方法Initialize()和ISCreateObject()，攻击者可强制下层操作系统加载任意dll，此漏洞可允许攻击者在进程的上下文中执行代码。
 
<*来源：Andrea Micalizzi
 
  链接：
        ?id=7011811
 *>

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
Novell
 ------
 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：