the-loser
gehört zum Inventar
WICHTIG: Sicherheitslücke im Server!!!
Hallo,
habe soeben folgendes im Heise-Newsticker entdeckt und dachte, es könnte von Interesse sein:
Hallo,
habe soeben folgendes im Heise-Newsticker entdeckt und dachte, es könnte von Interesse sein:
Sicherheitslücke in Servern mit Unreal Game Engine
In der Unreal Game Engine[1] von Epic ist unter Windows, Linux und Mac OS eine Schwachstelle enthalten, mit der Angreifer einen Game Server zum Absturz bringen können oder sogar eigenen Code einschleusen und ausführen können. Luigi Auriemma, Entdecker der Sicherheitslücke, hat dazu bereits einen Proof-of-Concept-Exploit veröffentlicht, der mit zu langen Werten in einer so genannten Secure-Query Teile des Speichers auf einem Server überschreibt.
Verwundbar sind laut Advisory:
DeusEx <= 1.112fm
Devastation <= 390
Mobile Forces <= 20000
Nerf Arena Blast <= 1.2
Postal 2 <= 1337
Rune <= 107
Tactical Ops <= 3.4.0
TNN Pro Hunter (?)
Unreal 1 <= 226f
Unreal II XMP <= 7710
Unreal Tournament <= 451b
Unreal Tournament 2003 <= 2225
Unreal Tournament 2004 < 3236
Wheel of Time <= 333b
X-com Enforcer
Der Hersteller ist bereits informiert, hat bislang aber nur einen Patch für Unreal Tournament 2004 (Fix Build 3236) für Win32 zur Verfügung gestellt. Auriemma schlägt als Workaround vor, die fehlerhafte Funktion selbst zu patchen. Diese sind in UnrealScript-Code geschrieben und in den Dateien IpDrv.u oder IpServerver.u zu finden.
Siehe dazu auch:
Security Advisory[2] von Luigi Auriemma
(dab[3]/c't) (dab/c't)
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/48463
Links in diesem Artikel:
[1] http://unreal.epicgames.com
[2] http://aluigi.altervista.org/adv/unsecure-adv.txt
[3] mailto:dab@ct.heise.de