16 de julio de 2014

AUTODESK VRED PROFESSIONAL .Descubierta grave vulnerabilidad

Se ha reportado una vulnerabilidad en Autodesk VRED Professional 2014. El problema, descubierto por Thomas Fischer de Daimler TSS Technical Security, podría permitir a un atacante remoto ejecutar código arbitrario.
 Autodesk VRED es un software especialmente dedicado para diseñadores de automóviles e ingenieros para crear presentaciones de productos, revisiones de diseño y prototipos virtuales de forma realista. Incorpora numerosas herramientas de ingeniería, diseño y de análisis.
Detalle de la vulnerabilidad
  •  La vulnerabilidad, con identificador CVE-2014-2967, podría permitir a un atacante remoto valerse del servidor web que incorpora el propio software para ejecutar código de forma remota. Este servidor web permite el acceso a una API de Python la cual da acceso a un gran número de librerías, lo que facilitaría al atacante el poder ejecutar comandos con los privilegios del usuario que esté ejecutando el software.
Recursos afectados
  • Esta vulnerabilidad se ha reportado en versiones anteriores a VRED 2014 SR1 SP8.
Recomendación
  • Se recomienda actualizar a VRED 2014 SR1 SP8 o superior.
Más información:
Fuente: Hispasec