PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OT|Sicherheitsloch bei Unreal



Ch33ch
11-03-04, 08:13
Sicherheitsloch bei Unreal

Eine Sicherheitslücke in EpicGames Unreal-Engine ermöglicht es Angreifern, beliebigen Code auf dem Server auszuführen. Laut eines Advisory von Luigi Auriemma auf der Sicherheits-Mailingliste Bugtraq handelt es sich dabei um einen Format-String-Bug, der sich sehr einfach ausnutzen lässt. Wenn sich Clients zu einem Server mit Unreal-Engine verbinden, schicken sie bestimmte Daten in Form von Klassen. Ein Angreifer kann in die Namen dieser Klassen Formatierungsbefehle ("%s", "%n") einbauen, die vom Server nicht gefiltert werden. Dadurch kann entweder der Server lahm gelegt oder sogar beliebiger Code ausgeführt werden.

Das Problem reicht recht weit, weil viele Spiele die Unreal-Engine verwenden. Neben Unreal und Unreal Tournament sind dies beispielsweise Postal 2, Star Trek: Klingon Honor Guard, Tactical Ops, Rainbow Six: Raven Shield und viele andere. Laut Auriemma wurde EpicGames bereits Anfang September vergangenen Jahres über die Schwachstelle informiert, dort wurde sie aber bis November nicht ernst genommen. Dann habe EpicGames alle Entwickler von anfälligen Spielen über eine interne Mailingliste informiert. Aber einen Hotfix gibt es bislang nicht: Zwar will EpicGames das Problem mit dem nächsten offiziellen Patch beheben, doch wann der zur Verfügung steht, ist derzeit unklar. (pab/c't)

was du heute kannst besorgen verschieb es ruhig auf morgen

Ch33ch
11-03-04, 08:13
Sicherheitsloch bei Unreal

Eine Sicherheitslücke in EpicGames Unreal-Engine ermöglicht es Angreifern, beliebigen Code auf dem Server auszuführen. Laut eines Advisory von Luigi Auriemma auf der Sicherheits-Mailingliste Bugtraq handelt es sich dabei um einen Format-String-Bug, der sich sehr einfach ausnutzen lässt. Wenn sich Clients zu einem Server mit Unreal-Engine verbinden, schicken sie bestimmte Daten in Form von Klassen. Ein Angreifer kann in die Namen dieser Klassen Formatierungsbefehle ("%s", "%n") einbauen, die vom Server nicht gefiltert werden. Dadurch kann entweder der Server lahm gelegt oder sogar beliebiger Code ausgeführt werden.

Das Problem reicht recht weit, weil viele Spiele die Unreal-Engine verwenden. Neben Unreal und Unreal Tournament sind dies beispielsweise Postal 2, Star Trek: Klingon Honor Guard, Tactical Ops, Rainbow Six: Raven Shield und viele andere. Laut Auriemma wurde EpicGames bereits Anfang September vergangenen Jahres über die Schwachstelle informiert, dort wurde sie aber bis November nicht ernst genommen. Dann habe EpicGames alle Entwickler von anfälligen Spielen über eine interne Mailingliste informiert. Aber einen Hotfix gibt es bislang nicht: Zwar will EpicGames das Problem mit dem nächsten offiziellen Patch beheben, doch wann der zur Verfügung steht, ist derzeit unklar. (pab/c't)

was du heute kannst besorgen verschieb es ruhig auf morgen

zappilot
11-03-04, 08:40
<BLOCKQUOTE class="ip-ubbcode-quote"><font size="-1">quote:</font><HR>Das Problem reicht recht weit, weil viele Spiele die Unreal-Engine verwenden. Neben Unreal und Unreal Tournament sind dies beispielsweise Postal 2, Star Trek: Klingon Honor Guard, Tactical Ops, _Rainbow Six: Raven Shield _ und viele andere.<HR></BLOCKQUOTE>


hmm das verwirrt mich nun mal ein bissal. ich kenne postal 2 nicht, aber star trek honor guard und tac ops basieren auf der alten unreal enginge (also unreal/ut). ravenshield, sowie ut 2003,Unreal 2, AA, und der ganze rest basieren auf der neuen unreal engine (ich glaub das is die warfare). und hat di alte unreal engine jetzt diesen bug oder die neue? weil wenns die alte ist, raven shield basiert auf der neuen, hat nix mit honor guard und tac ops gemein.

<P align="center">http://www.kof-germany.de/kofbanner04.gif (http://www.kof-germany.de)</P>

<P align="center"><FONT color="springgreen">Die globale Erwärmung ist gar nicht so schlimm, der nukleare Winter wirds wieder ausgleichen.</FONT></P>
<P align="center"><FONT color="white">Rächtschraipunk ißt wass führ Nuhbs</FONT></P>

ephex|Eagle
11-03-04, 10:37
boah diese banane... alter... wippt die auch noch im takt zum bumm-bumm mit, arrrrgghhh!

DC-5_Tachyon
12-03-04, 04:45
Den Senf habe ich noch dazu gefunden...

****************************************
Schwere Sicherheitslücke in Unreal-Engine
Unzählige Shooter betroffen
Laut Angaben von Luigi Auriemma auf der Mailing-Liste Bugtraq weist die Unreal-Engine von Epic Games eine schwere Sicherheitslücke auf, die es Angreifern unter anderem ermöglicht, Programmcode auf dem Server auszuführen. Betroffen seien praktisch alle Spiele, die die Unreal-Engine nutzen und einen Multiplayer-Modus bieten.


Die Liste der betroffenen Programme ist also recht lang - neben den verschiedenen Unreal- und Unreal-Tournament-Spielen gehöen unter anderem auch DeusEx, Devastation, Rainbow Six: Raven Shield und XIII dazu.

Sobald der Client bei einer Online-Partie dieser Spiele mit dem Server verbunden ist, werden die Namen der verwendeten Objekte in Form von Klassen an den Server übermittelt. Innerhalb dieses Klassen-Managements befindet sich eine Sicherheitslücke, so dass Angreifer über einen entsprechend formatierten String entweder den Server zum Absturz bringen oder sogar Programmcode auf dem Server ausführen können.

Wie Auriemma berichtet, wurde Epic Games bereits am 2. September 2003 auf die Sicherheitslücke aufmerksam gemacht, erste Reaktionen gab es allerdings erst im November 2003. Mittlerweile wurden zwar alle Entwickler der betroffenen Spiele von Epic Games mittels der internen Mailing-Liste benachichtigt, eine Lösung des Problems gibt es bisher allerdings nicht. Zwar soll ein Patch die Lücke schließen, wann der erscheinen soll, kann man bei Epic Games bisher aber nicht sagen. (tw)
**********************************************

Das habe ich dazu gefunden ...müssen wir in Panik ausbrechen?

la_saga
12-03-04, 07:18
<BLOCKQUOTE class="ip-ubbcode-quote"><font size="-1">quote:</font><HR> Das habe ich dazu gefunden ...müssen wir in Panik ausbrechen? <HR></BLOCKQUOTE>
wir spielen rash, was könnte uns noch dazu bringen in panik auszubrechen? http://ubbxforums.ubi.com/images/smiley/35.gif

&lt;center&gt;&lt;a href="http://www.the3kings.de/?page=server&ip=&PHPSESSID=d6af57a0656aa27a87a3a09a45659157"target=_blank&gt;t3K Ravenshield-Server&lt;/a&gt;
&lt;center&gt;&lt;p id="blauschattig"&gt;&lt;span style="color:red" style="font-size:6pt"&gt;kiddies sind umhüllt von nebelwolken, absolut kein land in sicht, ich gebe nachhilfeunterricht,
sprich ich trichter klarsicht in jedes arschgesicht,
bis auch vom letzten bravoleser die nachricht verstanden ist.&lt;/span&gt;&lt;/p&gt;&lt;center&gt;&lt;img src="http://members.chello.at/t3kjolly/paar@ohraehauer_01.gif"&gt;©Lügner&lt;/center&gt;
&lt;/center&gt;
&lt;center&gt;&lt;A HREF='http://www.the3kings.de' target='_new'&gt;&lt;img src='http://www.the3kings.de/images/banner/t3k_banner_468x60.jpg' alt='www.the3kings.de' width='468' height='60' border='0'&gt;&lt;/A&gt;&lt;/center&gt;

Eisklaue der Erste
12-03-04, 07:31
http://www.cheesebuerger.de/smilies/verbluefft/12.gif PPPAAAAAAANNNNNIIIIIIKKKKKK http://www.cheesebuerger.de/smilies/verbluefft/50.gif
AHHHHHHHHHH http://www.cheesebuerger.de/smilies/verbluefft/44.gif

&lt;FONT color="#99FFFF" size="2" face="comic sans"&gt;
&lt;marquee behavior="scroll" scrollamount="5" width="100%" height="50"&gt;&lt;img src="http://www.cheesebuerger.de/smilies/sonstige/81.gif"&gt; &lt;/img&gt; &lt;img src="http://www.cheesebuerger.de/smilies/figuren/19.gif"&gt;&lt;/marquee&gt;&lt;/font&gt;&lt;/img&gt;
&lt;center&gt;
&lt;font color="#99FFFF" size="3" face="comic sans ms"&gt;Wenn es klemmt, wende Gewalt an - Wenn es kaputt geht, hätte es sowieso erneuert werden müssen.
&lt;/font&gt;
&lt;/center&gt;

saf.gf
12-03-04, 08:11
NNNNNNNNNNNNNNNNOOOOOOOOOOOOOOOOOOOOOOOO help me need back up, need back up HHHHHHHHEEEEEEEELLLLLLLLLLLPPPPPPPPPPPPP!!!!


http://ubbxforums.ubi.com/images/smiley/351.gif http://ubbxforums.ubi.com/images/smiley/354.gif

STF_Creepy
12-03-04, 09:28
Roger That, Take Cover !!! http://ubbxforums.ubi.com/images/smiley/crazy.gif

&lt;center&gt;http://www.specialtacticforce.de/images/STFBanner.gif (http://www.specialtacticforce.de)&lt;/center&gt;
&lt;center&gt;&gt;&gt;&gt;:: SpacialTacticForce ::&lt;&lt;&lt; &lt;/center&gt;