Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

[kc2k]

siehe Quelle:

http://www.heise.de/newsticker/meldung/72780

[OBC-Freeman]

Na klasse da ist man nichtmal mer beim zocken sicher


mfg OBC-Freeman

[silver]

Bislang ist noch kein Patch zum Schließen der Sicherheitslücke verfügbar.

ich bezweifel das da auch viel kommen wird.

[WoodSTokk]

Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk

[kc2k]

Bislang ist noch kein Patch zum Schließen der Sicherheitslücke verfügbar.

ich bezweifel das da auch viel kommen wird.

denk ich mal auch

Jede halbwegs gut konfigurierte Firewall fängt sowas ab

es gibt aber noch genug leute die keine firewall benutzen.

[Seewolf]

Also ist das für mich uninteressant weil ich einen router und eine friewall besitze und benutze ?

[silver]

Also ist das für mich uninteressant weil ich einen router und eine friewall besitze und benutze ?

so siehts aus

[Mad Max(GER)]

es gibt aber noch genug leute die keine firewall benutzen.

So wie ich !!

was macht das Dingen jetzt genau

[OBC-Freeman]

Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk

Dan hab ich ja nochmal glück gehabt

mfg OBC-Freeman

[Seewolf]

@ Mad Max andeiner Stelle würde ich mir schnell eine Firewall besorgen und so teuer sind die ja nicht mehr !

Obwohl ich einen router habe kommen noch sehr wenige durch die werden dann geblockt durch meine firewall. Ich war früher auch so sorglos aber jag mal Spybotsearch and destroy durch der wird dir unzählige Spys anzeigen. [/url]

[[KuB]HausTier]

Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk

Richtig !

Die Frage is nur was für'n Router (Linux-Möhre und/oder externer Hardware-Router bzw. dhcp-Kiste) ?
Welche Ports wurden freigegeben, zwecks Downloads, Games oder was weiss ich (sollte, aber weiss man ja nich immer ) ?

Ist zwar alles halb so schlimm (denke ich mal), aber Probs könnte es hier und da schon geben...
... erst recht ganz ohne Firewall...

Gruss

HT

[WoodSTokk]

Die Frage 'was für ein Router' stellt sich hier nicht da alles was sich Router nennt (Hardwarerouter) oder als Router arbeitet (Linux) das Netzwerk NATet.

NAT = Network Allocation Table
Ein Router hat 2 Seiten, die externe wo er vom Internet erreichbar ist und eine IP vom Provider bekommt und eine interne wo er eine IP hat die nur für private Zwecke verwendet werden darf.
Dein Rechner hat ebenfalls eine IP aus dem privaten Bereich und als Gateway (das Tor zur Welt) hat er die interne IP des Routers.
Wenn du jetzt eine Verbindung aufbaust (Mail, Web, News, etc...) wird die Verbindung zum Gateway geschickt (zum Router). Dieser erkennt daß sich der Zielrechner nicht im privaten Bereich befindet, schreibt eine Notiz in die NAT, maskiert die IP des Senders (private IP's dürfen im i-net nicht verwendet werden) und sendet das Paket über das externe Interface.
Wenn jetzt eine Antwort kommt, sieht der Router in die NAT ob eine dazu passende Verbindung eingetragen ist. Wenn ja, dann schreibt er diesmal die IP des Empfängers um und sendet es über das interne Interface. Wenn nicht, lässt er es still und heimlich fallen.

Nachdem der Exploit in der Q3-Engine nur ein unprivilegiertes Port (> 1024) öffnet aber selbst nichts sendet, ist in der NAT nichts vermerkt und der Router wird alle Anfragen an TCP-Port 27970 dropen.

Achtung:
Es gibt Leute die mit ihren Hardwareroutern und Onlinespiele Probleme hatten und deshalb eine fixe Route im Router definiert haben.
Diese sollten unbedingt ihre Routerconfig überprüfen!

DHCP = Dynamic Host Configuration Protocol
Das hat mit routing, nating und masquerading nichts zutun.
DHCP dient dazu einem Rechner eine Netzwerkeinstellung anzubieten wenn er keine hat (IP automatisch, DNS automatisch, etc...).

mfG WoodSTokk

[[KuB]HausTier]

Warum sollte ein DHCP-Server nicht auch als Router arbeiten und somit den verbundenen Clients einen Internetzugang ermöglichen ? (irgendwie arbeitet ein Hardware-Router ja ähnlich)
OK, für Heimnetzwerke etwas weit ausgeholt und etwas am Thema vorbei, aber immerhin ein Gedanke.

Wie von dir angesprochen, ging es mir um mögliche Schwachstellen durch Änderungen der Routerconfig, welche bei einigen Modellen erforderlich sind da sonst Online-Games der Mittelfinger gezeigt werden könnte.

Habe mich wohl etwas zu knapp und somit nicht wirklich verständlich ausgedrückt... einen langen Nachmittag im Biergarten sei dank...

[WoodSTokk]

Fast alle Hardwarerouter haben einen DHCP-Server integriert aber deshalb hat DHCP noch lange nichts mit routing zutun.

Wenn ein Host sein Networkinterface aktiviert und es auf 'automatic' eingestellt ist, sendet er darüber eine unverbindliche Anfrage an alle (Broadcast) ob irgendwer eine Einstellung für sein Interface zur Verfügung hat. (DISCOVER)
Sollte sich im selben Netzwerksegment ein DHCP-Server befinden, bietet er diesem orientierungslosen Host eine IP-Adresse an. (OFFER) Auch das ist unverbindlich. Der Host muss sie nicht annehmen.
Wenn der Host mit dieser IP einverstanden ist, benachrichtigt er den DHCP-Server das er diese IP gerne hätte. (REQUEST)
Der DHCP-Server bestädingt und sendet dem Host noch zusätzliche Einstellungen wie Subnetmask, Gateway, DNS-Adressen, etc... (ACK)

Dies ist eine Kurzfassung des Gesprächs mit einem DHCP-Server die nur veranschaulichen soll, was ein DHCP macht und wie die Hosts mit automatischer NIC zu ihrer IP kommen.
Man sieht auch das DHCP nichts mit routing zu tun hat
Ich hoffe ich konnte hiermit ein Service das jeder vom Namen her kennt aber keiner weis genau was es tut, etwas erklären.

mfG WoodSTokk

[[KuB]NasenBaer]

Patches gibts da :
http://www.idsoftware.com/