BFCommand
2008-04-09 04:17:52来源:互联网 阅读 ()
发布日期:2005-08-30
更新日期:2005-08-30
受影响系统:
BFCommand & Control Software BFVCC 2.14 _B描述:
BFCommand & Control Software BFVCC 2.0 0_A
BFCommand & Control Software BFCC 1.22 _A
BUGTRAQ ID: 14690
CVE(CAN) ID: CVE-2005-2789
BFCommand & Control Server Manager是游戏 Battlefield 1942(BFCC)、Battlefield Vietnam(BFVCC)和Battlefield 2(BF2CC)的服务程序管理器。
BFCC和BFVCC服务程序管理器中存在多个漏洞:
------------------------------
A] 匿名登录
------------------------------
用户可以连接到服务程序管理器,以“Super Admin”权限完全控制。
-------------------------------------
B] 通过空用户名绕过登录
-------------------------------------
用户名字段中的空字节(0x00)可以绕过认证,服务器会允许攻击者访问:
"login" "\x1e" // command
"\0" "\x1e" // username (NULL byte)
"none" "\x1e" // password
"none" "\x1e" // username
"" "\x1e" // ???
"" // ???
"\x00\x40\x40\x00" // command delimiter
-------------------------------------------
C] 客户端获得完全权限
-------------------------------------------
服务程序在连接的客户端实现访问控制、权限和其他命令,这就允许攻击者获得完全的管理访问。
--------------------------------------------
D] 连续连接后服务器拒绝服务
--------------------------------------------
如果客户端没有发送“login”命令的话,服务器就认为连接处于空闲状态。如果达到了20个连接的上限的话,服务器就会拒绝服务。
<*来源:Luigi Auriemma (aluigi@pivx.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112534155318828&w=2
*>
建议:
厂商补丁:
BFCommand & Control Software
----------------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.bfcommandcontrol.org/
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
