Hired Team多个安全漏洞

漏洞信息详情

Hired Team多个安全漏洞

• CNNVD编号：CNNVD-200412-878
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-1523
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-11-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  new_media_generation
• 漏洞来源：
  Luigi Auriemma※ al…

Hired Team是一款New Media Generation公司发行的FPS游戏。
Hired Team存在多个安全问题，远程攻击者可以利用这个漏洞进行格式串，拒绝服务等攻击。
问题一是in-game格式串问题
攻击者可以加入一个服务器，然后简单的发送特殊格式参数如\’\’\\%n\\%n\\%n\’\’，可导致服务程序崩溃。
问题二是处理畸形包不正确导致比赛中断
每次新游戏者加入，服务器会分配一个UDP端口给加入者，如果服务器在这些UDP口接收到畸形数据，可导致游戏中断。
问题三是status和kick命令问题
客户端使用status命令，服务器可马上崩溃，另外游戏者可以无限制的踢其他游戏者。

厂商补丁：
3 Dengine
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.3dengine.ru/” target=”_blank”>
http://www.3dengine.ru/

来源: XF
名称: hired-team-format-string(18083)
链接:http://xforce.iss.net/xforce/xfdb/18083

来源: BID
名称: 11683
链接:http://www.securityfocus.com/bid/11683

来源: SECUNIA
名称: 13207
链接:http://secunia.com/advisories/13207

来源: BUGTRAQ
名称: 20041115 Multiple vulnerabilities in Hired Team: Trial (Shine engine)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110054260919742&w=2

来源：NSFOCUS
名称：7114
链接：http://www.nsfocus.net/vulndb/7114