【绿盟科技授权,赛迪发布,谢绝任何网站转载,违者,赛迪网将保留追究其法律责任的权利!】
发布日期:2007-09-10
更新日期:2007-09-13
受影响系统:
Autodesk Backburner 3.0.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25590
CVE(CAN) ID: CVE-2007-4749
Autodesk Backburner是3ds Max、Combustion、Inferno、Flame等制图工具的网络渲染管理器。
Backburner软件的远程任务队列工具允许用户提交由操作系统命令所组成的任务,然后Backburner Manager服务会未经认证以启动该服务用户帐号的权限执行这些命令。设计上Backburner是由封闭网络中的管理员使用的,使用Backburner的应用程序也需要部分管理权限,因此服务也是以管理权限运行的。这样恶意的攻击者就可以利用这个功能在运行Backburner软件的主机上获得管理权限。
<*来源:Dave Hartley (dave_hartley@symantec.com)
Stephen Kapp
链接:http://marc.info/?l=bugtraq&m=118961724006811&w=2
http://secunia.com/advisories/26797/
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 删除cmdjob功能,或仅限必需的主机网络访问特定端口。
厂商补丁:
Autodesk
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://usa.autodesk.com/adsk/servlet/home?siteID=123112&id=129446
(责任编辑:李磊)
