安全研究
安全漏洞
Valve Software Half-Life Dedicated Server信息泄露/拒绝服务漏洞
发布日期:2003-11-19
更新日期:2003-11-26
受影响系统:Valve Software Half-Life Dedicated Server 4.1.1.1c1 Win32
Valve Software Half-Life Dedicated Server 4.1.1.0 Win32
Valve Software Half-Life Dedicated Server 4.1.0.9 Win32
Valve Software Half-Life Dedicated Server 4.1.0.8 Win32
Valve Software Half-Life Dedicated Server 4.1.0.7 Win32
Valve Software Half-Life Dedicated Server 4.1.0.6 Win32
Valve Software Half-Life Dedicated Server 4.1.0.4 Win32
Valve Software Half-Life Dedicated Server 3.1.1.1d Linux
Valve Software Half-Life Dedicated Server 3.1.1.1c1 Linux
Valve Software Half-Life Dedicated Server 3.1.1.0 Linux
Valve Software Half-Life Dedicated Server 3.1.0.9 Linux
Valve Software Half-Life Dedicated Server 3.1.0.8 Linux
Valve Software Half-Life Dedicated Server 3.1.0.7 Linux
Valve Software Half-Life Dedicated Server 3.1.0.6 Linux
Valve Software Half-Life Dedicated Server 3.1.0.5 Linux
Valve Software Half-Life Dedicated Server 3.1.0.4 Linux
Valve Software Half-Life Dedicated Server 3.1
Valve Software Half-Life Dedicated Server 3.1.3
- Caldera Open Linux 2.4
- Conectiva Linux 5.1
- Debian Linux 2.3
- Slackware Linux 7.1
- SuSE Linux 7.0
描述:
BUGTRAQ ID:
9070
Half-life是一款在线流行的FPS游戏。
Half-life在部分配置条件下存在信息泄露问题,远程攻击者可以利用这个漏洞获得敏感配置文件。
如果在服务器端配置中,allowdownload = 1,就可能下载当前目录或'valve'目录下的的任意文件内容,包含包含用户名和密码的敏感配置文件。当然如果下载大的文件,如地图,可导致服务器崩溃。
<*来源:3APA3A (
3APA3A@security.nnov.ru)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=106927793109521&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
3APA3A (
3APA3A@security.nnov.ru)提供了如下测试方法:
cmd dlfile server.cfg
cmd dlfile addons/amx/users.ini
cmd dlfile addons/amx/mysql.cfg
cmd dlfile maps/de_torn.bsp
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 设置allowdownload = 0
厂商补丁:
Valve Software
--------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.valvesoftware.com/浏览次数:3235
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
