Half-Life Dedicated Server 3.1 bis 4.1.1 allowdownloads erweiterte Leserechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Das Spiel Half-Life der Firma Valve wurde 1998 herausgegeben und ist seitdem ungeschlagen einer der populärsten Egoshooter. Der Erfolg dieses Spiels ist mitunter der sehr stark aktiven Community zu verdanken. Netzwerk-Spiele basieren auf dem Client/Server-Prinzip. Bevorzugt werden natürlich dedizierte Server, auf denen mit voller Performance gespielt werden kann. Ein solcher Dedicated Server kann durch eine Denial of Service-Attacke zum Absturz gebracht oder Daten ausgelesen werden. Dies ist dann gegeben, wenn die Option allowdownloads aktiviert wurde. Wie das Vorgehen für den Angriff in etwa auszusehen hat, ist im Advisory festgehalten. Als Workaround wird empfohlen allowdownloads auf 0 zu setzen. Diese Konfiguration führt allerdings dazu, dass Clients keine Maps mehr vom Server laden können. Das Problem wird software-seitig voraussichtlich in einer kommenden Version des Dedicated Server behoben werden. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (11040) dokumentiert. Unter directory.google.com werden zusätzliche Informationen bereitgestellt.
Gerade weil Half-Life nach wie vor ein beliebtes Spiel ist, muss in der Community mit entsprechenden Übergriffen gerechnet werden. Da der Angriff sich nur bedingt konstruktiv und in der gewünschten Form durchführen lässt, ist der Fehler in erster Linie ein Ärgernis. Eine direkte Gefahr ist er eigentlich nur für den Spielspass. Entsprechend liegt es nun an Valve, schnellstmöglich einen Patch ohne Nebenwirkungen oder Einschränkungen herauszubringen.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.0VulDB Meta Temp Score: 5.0
VulDB Base Score: 5.0
VulDB Temp Score: 5.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DisableStatus: 🔍
0-Day Time: 🔍
Patch: valvesoftware.com
Timeline
19.11.2003 🔍19.11.2003 🔍
20.11.2003 🔍
20.11.2003 🔍
24.11.2003 🔍
27.06.2019 🔍
Quellen
Advisory: security.nnov.ruPerson: 3APA3A
Status: Nicht definiert
X-Force: 11040 - Half-Life Server StatsMe statsme.cpp format string attack, High Risk
SecuriTeam: securiteam.com
SecurityFocus: 9070 - Valve Software Half-Life Dedicated Server Information Disclosure/DOS Vulnerability
Secunia: 10263 - Half-Life Dedicated Server Arbitrary File Download Vulnerability, Less Critical
OSVDB: 2841 - Half-Life Dedicated Server Arbitrary File Download
TecChannel: 1524 [404 Not Found]
Diverses: 🔍
Eintrag
Erstellt: 24.11.2003 10:22Aktualisierung: 27.06.2019 10:17
Anpassungen: 24.11.2003 10:22 (63), 27.06.2019 10:17 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.