Epic Games Unreal Tournament Engine UMOD manifest.ini远程任意文件覆盖漏洞

漏洞信息详情

Epic Games Unreal Tournament Engine UMOD manifest.ini远程任意文件覆盖漏洞

• CNNVD编号：CNNVD-200412-513
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-1958
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-04-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  epic_games
• 漏洞来源：
  Luigi Auriemma※ al…

EpicGames开发的Unreal引擎支持UMOD文件格式可方便安装游戏扩展程序。
Epic Games Unreal缺少正确的输入验证，远程攻击者可以利用这个漏洞指定任意系统文件作为覆盖对象，而导致本地文件破坏。
由于对manifest.ini进行处理时，没有对目录格式为\’\’..＼\’\’的字符进行正确处理，可导致绕过目录限制覆盖系统中任意文件。

厂商补丁：
Epic Games
———-
Unreal Tournament 2004不存在此漏洞，建议用户采用新版本：

http://www.unrealtournament.com/” target=”_blank”>
http://www.unrealtournament.com/

来源: XF
名称: unreal-umod-dotdot-file-overwrite(15942)
链接:http://xforce.iss.net/xforce/xfdb/15942

来源: BID
名称: 10196
链接:http://www.securityfocus.com/bid/10196

来源: aluigi.altervista.org
链接:http://aluigi.altervista.org/adv/umod-adv.txt

来源: BUGTRAQ
名称: 20040422 Arbitrary file overwriting in Unreal engine through UMOD
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108267310519459&w=2

来源：NSFOCUS
名称：6356
链接：http://www.nsfocus.net/vulndb/6356