发布日期：2007-09-10
更新日期：2007-09-13

受影响系统：

Autodesk Backburner 3.0.2

描述：

---

BUGTRAQ  ID: 25590
CVE(CAN) ID: CVE-2007-4749

Autodesk Backburner是3ds Max、Combustion、Inferno、Flame等制图工具的网络渲染管理器。

Backburner软件的远程任务队列工具允许用户提交由操作系统命令所组成的任务，然后Backburner Manager服务会未经认证以启动该服务用户帐号的权限执行这些命令。设计上Backburner是由封闭网络中的管理员使用的，使用Backburner的应用程序也需要部分管理权限，因此服务也是以管理权限运行的。这样恶意的攻击者就可以利用这个功能在运行Backburner软件的主机上获得管理权限。

<*来源：Dave Hartley （dave_hartley@symantec.com）
        Stephen Kapp
  
  链接：http://marc.info/?l=bugtraq&m=118961724006811&w=2
        http://secunia.com/advisories/26797/
*>

建议：

---

临时解决方法：

* 删除cmdjob功能，或仅限必需的主机网络访问特定端口。

厂商补丁：

Autodesk
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://usa.autodesk.com/adsk/servlet/home?siteID=123112&id=129446

浏览次数：2800
严重程度：0（网友投票）