发布日期：2000-12-11
更新日期：2000-12-11

受影响系统：

   Keware Technologies HomeSeer 1.4
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows NT 4.0
    - Microsoft Windows NT 2000

不受影响系统：

   Keware Technologies HomeSeer 1.4.29beta
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows NT 4.0
    - Microsoft Windows NT 2000

描述：

---

Keware Technologies 的 HomeSeer 是家庭自动化应用程序，
使用它用户可以借助一个 web 界面来本地或远程控制各种
家用器皿和家用器具。

有可能远程用户可以访问根目录上 HomeSeer 目录之外任何
已知的文件。一个特殊构造的由 '../' 和文件名构成的 HTTP
请求将显示具有读权限的文件的内容。

成功地利用这个漏洞可以使远程用户访问系统文件、口令文件
等等，导致对主机的侵害。


<* 来源：SNS Research (vuln-dev@greyhack.com) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

   例如，输入如下的 URL：
   
    http://target/../../../filename.ext


建议：

---

临时解决办法：

  NSFOCUS建议您立即下载升级版本升级该软件。

厂商补丁：

   ftp://ftp.keware.com/pub/homeseer14_29.zip



浏览次数：5628
严重程度：0（网友投票）