Sicherheitslücke bei COD |
Hon$el17
Administrator
Dabei seit: 15.01.2007
Beiträge: 1.946
Herkunft: Erkelenz, NRW
Level: 51 [?]
Erfahrungspunkte: 12.813.628
Nächster Level: 13.849.320
|
|
Modern Warfare Call of Duty 4: Modern Warfare Bericht Über eine Sicherheitslücke im Egoshooter Call of Duty 4: Modern Warfare können Angreifer eine Denial-of-Service Attacke gegen den Spielserver ausführen. Nach einem Bericht von Secunia tritt die Schwachstelle in Version 1.5 von Call of Duty 4 auf. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht bei der Verarbeitung von Type 7-'stats'-Befehlen, die an den Spielserver gesendet werden. Durch gezielte Manipulation solcher Pakete können Angreifer die Denial-of-Service Attacke gegen den Spielserver ausführen. Ein Patch ist bislang nicht bekannt.
Mfg Roger
__________________
-------------------------------------------------------
Denkt stehts daran, die Hoffnung stirbt zuletzt
|
|
10.06.2008 11:50 |
|
|
Conner unregistriert
|
|
RE: Sicherheitslücke bei COD |
|
Was wichtiges für alle COD 4 Freaks...
ACHTUNG Serveradmins!
Spieler können einige Server-Cheats aktivieren...
Per Zufall ist ein Eingriff per Konsole in den Server herausgefunden worden, mit dem jeder (!)Spieler - ohne in Besitz des Rcon-Passworts zu sein - die Cheats auf dem Server aktivieren kann, obwohl diese eigentlich ausgeschaltet sind!
Davon betroffen ist u.a. der Befehl g_compassShowEnemies, welcher eigentlich cheatprotected sein sollte! Doch ein Spieler kann diesen Wert auf 1 setzen und die Gegner dauerhaft als rote Punkte auf dem Radar anzeigen lassen!
Lösung:
Um dies zu verhindern, sollte jeder (!) Server-Admin die CVAR-Checks des Punkbusters um den folgenden Check ergänzen:
pb_sv_cvar sv_cheats IN 0
Diese Checks finden sich üblicherweise in der pbsv.cfg im aktiven PB-Ordner des Servers.
Anschließend den Punkbuster mit /pb_sv_restart neu starten. Sobald dann ein Spieler die Server-Cheats aktivieren will, wird er von Punkbuster unmittelbar gekickt.
Dieser spezielle Check ist aktuell weder in den empfohlenen Settings von punksbusted.com noch in den downloadbaren Punkbuster-Configs der Ligen (Electronic Sports League & Clanbase) enthalten, weshalb man ihn unbedingt von Hand nachtragen sollte!
Ein Admin der ESL ist informiert, ein Update der entsprechenden Settings sollte bald folgen.
********
Außerdem hat sich gezeigt, dass die von ESL & CB integrierte "Schlafzeit" des Punkbusters mit 500 Millisekunden eventuell zu lang sein könnte, um Spieler wirklich ausreichend zu überprüfen.
Der Default-Wert des Punkbusters liegt bei 60 Millisekunden, Streaming-Gesellschaften wie PsB empfehlen einen Wert von 100.
Der Befehl zum Anpassen dieses Wertes findet sich in der pbsv.cfg und lautet:
pb_sv_sleep 100
Quelle: Opferlamm-Clan.de-News
---
Nachtrag aufgrund diverser Nachfragen:
Dies ist kein patch- und/oder Linux-abhängiger Bug, wie es auf manchen Seiten verkündet wird.
Und ja, wir wissen seit einigen Tagen von diesem Bug und haben bereits eine Testreihe gestartet um das Ganze zu protokollieren und zu melden. Wir haben absichtlich keine Welle losgetreten, weil es sonst mal wieder jede Menge Leute gegeben hätte, die das "ja nur mal kurz ausprobieren wollen"...
Um dieses Problem also erst mal einzugrenzen nochmal die DRINGENDE BITTE an ALLE SERVER-ADMINS:
Passt eure PB-Einstellungen wie beschrieben an!
|
|
20.06.2008 11:39 |
|
|
|