Ejecución de código arbitrario en Watchdog de Webcam Corp.
Recientemente se ha dado a conocer por parte de Peter Winter-Smith una
vulnerabilidad que afecta a Watchdog, 3.x y anteriores.
Watchdog es un software diseñado para el control de instalaciones que
permite ahorrar tiempo de grabación ya que se activa automáticamente
cuando detecta movimiento, sin almacenar las imágenes donde no se
aprecian modificaciones. El servicio permite configurar alertas según
eventos, con lo que permite enviar imágenes por e-mail, realizar avisos
por teléfono, o activar alarmas, tanto cuando se detectan movimientos,
como si se pierde la señal de vídeo (por ejemplo el corte del cable de
la cámara).
Si un atacante realiza una petición HTTP
especialmente mal construida sobre el puerto 80 del servidor web de
Watchdog, puede provocar un desbordamiento de buffer y lograr la
posterior ejecución de código arbitrario en el sistema.
