漏洞信息详情
id Software Quake II服务器远程信息泄露漏洞
- CNNVD编号:CNNVD-200208-242
- 危害等级: 中危
![图片[1]-id Software Quake II服务器远程信息泄露漏洞-一一网](https://www.proyy.com/skycj/data/images/2021-05-16/30f462579bec41fc25e0b1d57503e6d6.png)
- CVE编号:
CVE-2002-0770
- 漏洞类型:
设计错误
- 发布时间:
2002-05-15
- 威胁类型:
远程
- 更新时间:
2005-10-20
- 厂 商:
id_software - 漏洞来源:
Richard Stanway※ b… -
漏洞简介
Quake II是一款由ID Software发布的多用户游戏服务程序,可使用在Linux和Unix操作系统下,也可使用在Microsoft Windows操作系统下。
Quake II在变量处理中存在漏洞,可导致远程攻击者获得服务器敏感信息。
攻击者可以通过使用本地扩展\”$\”宏的修改以后的客户端,发送类似\’\’say $rcon_password\’\’的命令给服务器,可导致Quake II服务器泄露rcon密码信息给攻击者,攻击者可以使用此信息对系统进一步进行攻击,如通过\’\’rcon dir\’\’查看系统目录结构和任意Q2服务器命令。
漏洞公告
临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 在sv_user.c中改变481行为:
Cmd_TokenizeString (s, false);
厂商补丁:
id Software
———–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
非官方升级程序下载:
id Software Quake II Server 3.20:
BarrysWorld Upgrade quake2-3.21-unofficial_server-linux.tar.gz
BarrysWorld Upgrade quake2-3.21-unofficial_server-win32.zip
BarrysWorld Upgrade quake2-3.21-unofficial_server-source.zip
id Software Quake II Server 3.21:
BarrysWorld Upgrade quake2-3.21-unofficial_server-linux.tar.gz
BarrysWorld Upgrade quake2-3.21-unofficial_server-win32.zip
BarrysWorld Upgrade quake2-3.21-unofficial_server-source.zip
参考网址
来源:US-CERT Vulnerability Note: VU#970915
名称: VU#970915
链接:http://www.kb.cert.org/vuls/id/970915
来源: BID
名称: 4744
链接:http://www.securityfocus.com/bid/4744
来源: www.quakesrc.org
链接:http://www.quakesrc.org/forum/topicDisplay.php?topicID=160
来源: XF
名称: quake2-unexpanded-var-disclosure(9095)
链接:http://www.iss.net/security_center/static/9095.php
来源: BUGTRAQ
名称: 20020514 Remote quake 2 3.2x server cvar leak
链接:http://online.securityfocus.com/archive/1/272548
来源: OSVDB
名称: 11187
链接:http://www.osvdb.org/11187
![[桜井宁宁]COS和泉纱雾超可爱写真福利集-一一网](https://www.proyy.com/skycj/data/images/2020-12-13/4d3cf227a85d7e79f5d6b4efb6bde3e8.jpg)
![[桜井宁宁] 爆乳奶牛少女cos写真-一一网](https://www.proyy.com/skycj/data/images/2020-12-13/d40483e126fcf567894e89c65eaca655.jpg)
