发布日期：2001-05-04
更新日期：2001-05-04

受影响系统：

    Free Peers BearShare 2.2.2
       - Microsoft Windows ME
       - Microsoft Windows 98
       - Microsoft Windows 95
    Free Peers BearShare 2.2.1
       - Microsoft Windows ME
       - Microsoft Windows 98
       - Microsoft Windows 95
    Free Peers BearShare 2.2
       - Microsoft Windows ME
       - Microsoft Windows 98
       - Microsoft Windows 95

不受影响系统：

    Free Peers BearShare 2.2.3
       - Microsoft Windows 98
       - Microsoft Windows 95
       - Microsoft Windows Media License Manager 4.0
          - Microsoft Windows NT 4.0

描述：

---

BUGTRAQ  ID: 2672
CVE(CAN) ID: CVE-2001-0368

Free Peers Inc. BearShare 是微软平台上的文件共享工具。某些情况下BearShare
易受目录遍历漏洞攻击。尽管该软件本身已经过滤了'/../'序列，可以对付一般情况
下的目录遍历漏洞攻击，但还是有可能构造一些其他URL请求，躲过这种过滤从而到
达攻击目的。如果BearShare的WEB特性被打开，远程攻击者利用该漏洞可以访问WEB
根目录之外的其他目录。

利用该漏洞时和文件类型有关。比如，无法利用该漏洞访问.avi和.mpg文件。原漏洞
报告未透露更多细节。值得注意的是该漏洞并不影响Win2K上的BearShare。

<* 来源：Aviram Jenik (aviram@beyondsecurity.com) *>



建议：

---

关闭BearShare的WEB特性可以阻止远程攻击者利用该漏洞。厂商发布了补丁：
http://download.cnet.com/downloads/
0-1896420-108-69833.html?bt.45605.1857922..dl-69833




浏览次数：3972
严重程度：0（网友投票）