Free Peers BearShare 目录遍历漏洞

漏洞信息详情

Free Peers BearShare 目录遍历漏洞

• CNNVD编号：CNNVD-200106-150
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2001-0368
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-05-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  free_peers
• 漏洞来源：

CVE(CAN) ID： CVE-2001-0368

Free Peers Inc. BearShare 是微软平台上的文件共享工具。某些情况下BearShare

易受目录遍历漏洞攻击。尽管该软件本身已经过滤了\’\’/../\’\’序列，可以对付一般情况

下的目录遍历漏洞攻击，但还是有可能构造一些其他URL请求，躲过这种过滤从而到

达攻击目的。如果BearShare的WEB特性被打开，远程攻击者利用该漏洞可以访问WEB

根目录之外的其他目录。

利用该漏洞时和文件类型有关。比如，无法利用该漏洞访问.avi和.mpg文件。原漏洞

报告未透露更多细节。值得注意的是该漏洞并不影响Win2K上的BearShare。

＜* 来源：Aviram Jenik (aviram@beyondsecurity.com) *＞

关闭BearShare的WEB特性可以阻止远程攻击者利用该漏洞。厂商发布了补丁：

http://download.cnet.com/downloads/

0-1896420-108-69833.html?bt.45605.1857922..dl-69833

来源: BID
名称: 2672
链接:http://www.securityfocus.com/bid/2672

来源: BUGTRAQ
名称: 20010430 A Serious Security Vulnerability Found in BearShare (Directory Traversal)
链接:http://www.securityfocus.com/archive/1/180644

来源: XF
名称: bearshare-dot-download-files(6481)
链接:http://xforce.iss.net/static/6481.php

来源: OSVDB
名称: 1810
链接:http://www.osvdb.org/1810