Autodesk Backburner cmdjob非授权访问漏洞

新客网 XKER.COM 2007-11-01 来源：绿盟科技收藏本文

发布日期：2007-09-10

更新日期：2007-09-13

受影响系统：

Autodesk Backburner 3.0.2

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25590

CVE(CAN) ID: CVE-2007-4749

Autodesk Backburner是3ds Max、Combustion、Inferno、Flame等制图工具的网络渲染管理器。

Backburner软件的远程任务队列工具允许用户提交由操作系统命令所组成的任务，然后Backburner Manager服务会未经认证以启动该服务用户帐号的权限执行这些命令。设计上Backburner是由封闭网络中的管理员使用的，使用Backburner的应用程序也需要部分管理权限，因此服务也是以管理权限运行的。这样恶意的攻击者就可以利用这个功能在运行Backburner软件的主机上获得管理权限。

<*来源：Dave Hartley （dave_hartley@symantec.com）

Stephen Kapp

链接：http://marc.info/?l=bugtraq&m=118961724006811&w=2

http://secunia.com/advisories/26797/

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 删除cmdjob功能，或仅限必需的主机网络访问特定端口。

厂商补丁：

Autodesk

--------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://usa.autodesk.com/adsk/servlet/home?siteID=123112&id=129446

上一篇：病毒 AntiAV 使用诡计骗取杀毒软件的信任下一篇：WordPress 存在字段名称HTML代码注入漏洞

【收藏】【评论】【推荐】【投稿】【打印】【关闭】