[Server] Sicherheitsloch bei Unreal!

the-loser

gehört zum Inventar
Sicherheitsloch bei Unreal!

Folgendes ist gerade im Heise Newsticker aufgetaucht:

Sicherheitsloch bei Unreal
[11.03.2004 14:16]

Eine Sicherheitslücke in EpicGames Unreal-Engine ermöglicht es Angreifern, beliebigen Code auf dem Server auszuführen. Laut eines Advisory[1] von Luigi Auriemma auf der Sicherheits-Mailingliste Bugtraq[2] handelt es sich dabei um einen Format-String-Bug, der sich sehr einfach ausnutzen lässt. Wenn sich Clients zu einem Server mit Unreal-Engine verbinden, schicken sie bestimmte Daten in Form von Klassen. Ein Angreifer kann in die Namen dieser Klassen Formatierungsbefehle ("%s", "%n") einbauen, die vom Server nicht gefiltert werden. Dadurch kann entweder der Server lahm gelegt oder sogar beliebiger Code ausgeführt werden.

Das Problem reicht recht weit, weil viele Spiele die Unreal-Engine verwenden. Neben Unreal und Unreal Tournament sind dies beispielsweise Postal 2, Star Trek: Klingon Honor Guard, Tactical Ops, Rainbow Six: Raven Shield und viele andere. Laut Auriemma wurde EpicGames bereits Anfang September vergangenen Jahres über die Schwachstelle informiert, dort wurde sie aber bis November nicht ernst genommen. Dann habe EpicGames alle Entwickler von anfälligen Spielen über eine interne Mailingliste informiert. Aber einen Hotfix gibt es bislang nicht: Zwar will EpicGames das Problem mit dem nächsten offiziellen Patch beheben, doch wann der zur Verfügung steht, ist derzeit unklar.
(pab[3]/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/45440

Links in diesem Artikel:
[1] http://www.securityfocus.com/archive/1/356904
[2] http://www.securityfocus.com/archive/1
[3] pab@ct.heise.de
 
Durch eine Sicherheitslücke in der Unreal-Engine war es möglich, beliebigen Code auf einem Server auszuführen. Epic hat jetzt einen 1,11 KB großen Patch für dieses Problem zur Verfügung gestellt, den alle Server-Administratoren aufspielen sollten.
 

Anhänge

  • crashfix.zip
    1,1 KB · Aufrufe: 154
::Installation::

1) Copy crashfix.u in to your UT2003\System directory.
2) Edit your UT2003.ini file (or server.ini file)
3) Find the section [Engine.GameInfo]
4) Add the entry to the end of the section

"AccessControlClass=crashfix.iaccesscontrol"

Restart your server.
:confused :confused :confused

Ich kanns ja UT99 trotzdem mal reinwürgen...mal sehn, was passiert :)
 
Hm.... :unsure:
Ich habe eben im Heisethread noch mal nachgelesen..... auf welche Version bezieht sich denn nun die Meldung?

Das Problem reicht recht weit, weil viele Spiele die Unreal-Engine verwenden. Neben Unreal und Unreal Tournament sind dies beispielsweise Postal 2, Star Trek: Klingon Honor Guard, Tactical Ops, Rainbow Six: Raven Shield und viele andere.

Soll wohl auf unser UT bzw. den Server abzielen, oder? Dann bitte ich um Verzeihung, foll viese Info!
 
Oben