Раскрытие чувствительной информации в Quake II

Дата публикации:
17.05.2002
Всего просмотров:
993
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Quake II - игра для нескольких игроков, от id Software.

Обычно расширенные переменные выполняются на стороне клиента. Однако измененный клиент может передавать некоторые нерасширенные переменные, типа $rcon_password, на сервер, потенциально раскрывая информацию удаленному атакующему.

Уязвимость обнаружена в id Software Quake II Server 3.20-3.21

Пример:

Вы должны изменить ваш q2 клиент, так, что бы он не заменял $ в переменных: В qcommon/cmd.c
измените строку
Cmd_TokenizeString (text, true);
на
Cmd_TokenizeString( text, false);


Ссылки: Remote quake 2 3.2x server cvar leak

или введите имя

CAPTCHA