Ergebnis 1 bis 7 von 7

Thema: [Server] WICHTIG: Sicherheitslücke im Server!!!

  1. #1
    gehört zum Inventar Avatar von the-loser
    Registriert seit
    09.12.02
    Ort
    Beiträge
    518

    Achtung! WICHTIG: Sicherheitslücke im Server!!!

    Hallo,

    habe soeben folgendes im Heise-Newsticker entdeckt und dachte, es könnte von Interesse sein:

    Sicherheitslücke in Servern mit Unreal Game Engine

    In der Unreal Game Engine[1] von Epic ist unter Windows, Linux und Mac OS eine Schwachstelle enthalten, mit der Angreifer einen Game Server zum Absturz bringen können oder sogar eigenen Code einschleusen und ausführen können. Luigi Auriemma, Entdecker der Sicherheitslücke, hat dazu bereits einen Proof-of-Concept-Exploit veröffentlicht, der mit zu langen Werten in einer so genannten Secure-Query Teile des Speichers auf einem Server überschreibt.

    Verwundbar sind laut Advisory:
    DeusEx <= 1.112fm
    Devastation <= 390
    Mobile Forces <= 20000
    Nerf Arena Blast <= 1.2
    Postal 2 <= 1337
    Rune <= 107
    Tactical Ops <= 3.4.0
    TNN Pro Hunter (?)
    Unreal 1 <= 226f
    Unreal II XMP <= 7710
    Unreal Tournament <= 451b
    Unreal Tournament 2003 <= 2225
    Unreal Tournament 2004 < 3236
    Wheel of Time <= 333b
    X-com Enforcer

    Der Hersteller ist bereits informiert, hat bislang aber nur einen Patch für Unreal Tournament 2004 (Fix Build 3236) für Win32 zur Verfügung gestellt. Auriemma schlägt als Workaround vor, die fehlerhafte Funktion selbst zu patchen. Diese sind in UnrealScript-Code geschrieben und in den Dateien IpDrv.u oder IpServerver.u zu finden.

    Siehe dazu auch:

    Security Advisory[2] von Luigi Auriemma
    (dab[3]/c't) (dab/c't)


    URL dieses Artikels:
    http://www.heise.de/newsticker/meldung/48463

    Links in diesem Artikel:
    [1] http://unreal.epicgames.com
    [2] http://aluigi.altervista.org/adv/unsecure-adv.txt
    [3] mailto:dab@ct.heise.de

  2.   Anzeige

     
  3. #2
    Brummelchen

    AW: [Server] WICHTIG: Sicherheitslücke im Server!!!


  4. #3
    gehört zum Inventar Avatar von the-loser
    Registriert seit
    09.12.02
    Ort
    Beiträge
    518

    AW: [Server] WICHTIG: Sicherheitslücke im Server!!!

    Hi Brummelchen,

    toll, dass Du die Suchmaschine bedienen kannst! Aber nur nochmal zum Verständnis: Es handelt sich um einen neuen Bug! Er gleicht nicht dem, den ich in dem von Dir gefunden Posting bereits erwähnt habe!

    Im aktuellen Advisory steht:

    Almost all the games based on the Unreal engine support the "secure" query.
    [...] The query is a simple UDP packet like \secure\ABCDEF. If an attacker uses a long value in his secure query, in the Unreal based game server will be overwritten some important memory zones.
    [...] The bug has been noticed to EpicGames the 24 May 2004. Currently only UnrealTournament 2004 has been fixed with the recent 3236 patch.
    In dem alten Advisory stand:
    The problem is a format string bug in the Classes management. Each time a client connects to a server it sends the names of the objects it uses (called classes).
    [...] This bug was signaled to EpicGames EXACTLY the 2th September 2003 (today is the 10th March so over 6 months ago) ...
    Daher hättest Du Dir meiner Ansicht nach Deinen Kommentar schenken können. Die Konsequenz für mich: Ich werde keine weiteren Security-Meldungen mehr zu Unreal posten.

  5. #4
    Moderator Avatar von chmul
    Registriert seit
    13.08.01
    Ort
    Gossau/ZH
    Beiträge
    15.198

    AW: [Server] WICHTIG: Sicherheitslücke im Server!!!

    Falsche Reaktion: Nichts mehr posten

    Richtige Reaktion: Kommentare von Brummelchen nicht überbewerten

  6. #5
    Brummelchen

    AW: [Server] WICHTIG: Sicherheitslücke im Server!!!

    blah fasel blubb - berühmte Worte.
    Man könnte die Threads ja joinen, soviel zur "Bewertung"...

    Zur Realität - UT2003 wird wohl nicht mehr weiterentwickelt,
    EPIC sattelt kein totes Pferd mehr.

  7. #6
    gehört zum Inventar Avatar von the-loser
    Registriert seit
    09.12.02
    Ort
    Beiträge
    518

    AW: [Server] WICHTIG: Sicherheitslücke im Server!!!

    Hi chmul,

    du schreibst:
    Richtige Reaktion: Kommentare von Brummelchen nicht überbewerten
    Mir stinkt es, wenn einige anscheinend nichts besseres zu tun haben, als krampfhaft zu jedem Thread die Boardsuchmaschine zu bemühen. Wenn aber jemand dieses Spiel schon derart verbissen betreibt, dass er auch vermeintliche Doppelpostings moniert, dann ist doch was faul, oder?

    Und Brummelchen: wenn ich meine Meldung an das vorhergehende Posting gehängt hätte, wären noch viel mehr Leute dem Irrtum erlegen, dass ich mich wiederhole...

    Aber egal, Schwamm drüber... Habe mich nur zu Unrecht angemacht gefühlt. Davon lass ich mir aber nicht die Stimmung verhageln, also: alles wieder gut, kann schon wieder lachen

  8. #7
    B.Ohlsen der alte Schwede Avatar von SoKoBaN
    Registriert seit
    17.06.03
    Ort
    Soliraffenland
    Beiträge
    4.649

    AW: [Server] WICHTIG: Sicherheitslücke im Server!!!

    Original geschrieben von the-loser
    \secure\ABCDEF
    Naja...sieht straff nach Windose aus.
    Und einige die es anscheinend zu wissen glauben meinen auch, ne Linux Box wäre davon kaum betroffen.
    Jedenfalls werden Scriptkiddys mit Backslash fummeln und auf ner Linux Box weniger Erfolg haben.

    Trotzdem Danke für den Hinweis.
    Und beim nächsten mal auch gerne wieder einen.
    Und fürs nächste mal tust du einfach so als gibts kein Brummelchen.
    Mach ich auch immer so, klappt ausgezeichnet

Ähnliche Themen

  1. Router-Konfiguration! ENDGÜLTIGE ERKLÄRUNG
    Von msb im Forum Netzwerke & Server
    Antworten: 17
    Letzter Beitrag: 14.01.05, 16:52
  2. Problem mit FRITZ!web DSL + BulletProof FTP
    Von OsIrIs-OnE im Forum BPFTP-Server 2.x
    Antworten: 18
    Letzter Beitrag: 14.06.04, 13:54
  3. [UT2K3] Server friert ein: Verliere meine letzten Haare
    Von Udo im Forum Tipp & Tricks & Help
    Antworten: 0
    Letzter Beitrag: 07.04.03, 10:52
  4. Chat auf Quakenet verlegen?
    Von Pennywise im Forum Anregungen, Kritik und Fragen zum Board
    Antworten: 29
    Letzter Beitrag: 20.10.02, 15:53
  5. Anmeldetext!
    Von K_U_L im Forum BPFTP-Server 2.x
    Antworten: 4
    Letzter Beitrag: 16.09.02, 17:08

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •