Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Alles was euch so einfällt
Benutzeravatar
kc2k
Ehren Member
Ehren Member
Beiträge: 2694
Registriert: Sa 7. Dez 2002, 19:42
Wohnort: Potsdam
Alter: 38
Kontaktdaten:

Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Beitrag von kc2k »


Survivor of SV-LAN I, II III and IV
In Memory of BrucePayne
OBC-Freeman
Haudegen
Haudegen
Beiträge: 651
Registriert: Fr 20. Dez 2002, 13:41
Wohnort: Gelsenkirchen
Alter: 53
Kontaktdaten:

Beitrag von OBC-Freeman »

Na klasse da ist man nichtmal mer beim zocken sicher :evil:


mfg OBC-Freeman
irc Trigger:!free

Ich hab nie was zu meckern dafür haben wir andere leute

Mein System:
Board :Gigabyte EP43-DS3L
CPU :Core 2 Duo 8400
Graka :Nvidia GTX 560Ti 2GB
Ram :4GB OCZ Kit DDR2 1066
Sound :SB Live 5.1
2x500 GB WD HDD

[center]Bild[/center]
[center]Bild[/center]
silver
Hero of City
Hero of City
Beiträge: 4731
Registriert: Di 1. Jul 2003, 17:35
Wohnort: Castle Wolfenstein
Kontaktdaten:

Re: Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Beitrag von silver »

heise hat geschrieben:Bislang ist noch kein Patch zum Schließen der Sicherheitslücke verfügbar.
ich bezweifel das da auch viel kommen wird.
Bild
Bild
[url=irc://de.quakenet.org/wolfenstein-city]#wolfenstein-city @ quakenet[/url]
https://rtcw-city.de
www.EnemyTerritory.de
Benutzeravatar
WoodSTokk
Helpdesk
Helpdesk
Beiträge: 2634
Registriert: Fr 6. Dez 2002, 03:09
Wohnort: Wien/Österreich/Europa/Erde
Alter: 53

Beitrag von WoodSTokk »

Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk
Du scheisst es nicht zu wetzen
Testserver: @peStable (95.129.206.243:27960)
Benutzeravatar
kc2k
Ehren Member
Ehren Member
Beiträge: 2694
Registriert: Sa 7. Dez 2002, 19:42
Wohnort: Potsdam
Alter: 38
Kontaktdaten:

Re: Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Beitrag von kc2k »

Silver hat geschrieben:
heise hat geschrieben:Bislang ist noch kein Patch zum Schließen der Sicherheitslücke verfügbar.
ich bezweifel das da auch viel kommen wird.
denk ich mal auch

Woodstock hat geschrieben:Jede halbwegs gut konfigurierte Firewall fängt sowas ab
es gibt aber noch genug leute die keine firewall benutzen.

Survivor of SV-LAN I, II III and IV
In Memory of BrucePayne
Benutzeravatar
Seewolf
Draufgänger
Draufgänger
Beiträge: 837
Registriert: So 8. Dez 2002, 12:43
Wohnort: Am arsch der Welt
Alter: 91

Beitrag von Seewolf »

Also ist das für mich uninteressant weil ich einen router und eine friewall besitze und benutze :) ?
Bild


Bild
Die perfekte Frau sieht aus wie ein Engel, fickt wie der Teufel, bläst wie ein Orkan und verwandelt sich nach dem Sex in zwei Kumpels und ne Kiste !
silver
Hero of City
Hero of City
Beiträge: 4731
Registriert: Di 1. Jul 2003, 17:35
Wohnort: Castle Wolfenstein
Kontaktdaten:

Beitrag von silver »

Seewolf hat geschrieben:Also ist das für mich uninteressant weil ich einen router und eine friewall besitze und benutze :) ?
so siehts aus
Bild
Bild
[url=irc://de.quakenet.org/wolfenstein-city]#wolfenstein-city @ quakenet[/url]
https://rtcw-city.de
www.EnemyTerritory.de
Benutzeravatar
Mad Max(GER)
Hirngeschädigter
Hirngeschädigter
Beiträge: 1485
Registriert: Sa 14. Dez 2002, 15:22
Wohnort: Good Old Germany
Alter: 50

Re: Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Beitrag von Mad Max(GER) »

kc2k hat geschrieben: es gibt aber noch genug leute die keine firewall benutzen.
So wie ich !!

was macht das Dingen jetzt genau :?:
________________________________________________________________
ciTy][Mad Max or TWC|Mad Max


Bild
OBC-Freeman
Haudegen
Haudegen
Beiträge: 651
Registriert: Fr 20. Dez 2002, 13:41
Wohnort: Gelsenkirchen
Alter: 53
Kontaktdaten:

Beitrag von OBC-Freeman »

WoodSTokk hat geschrieben:Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk
Dan hab ich ja nochmal glück gehabt :)

mfg OBC-Freeman
irc Trigger:!free

Ich hab nie was zu meckern dafür haben wir andere leute

Mein System:
Board :Gigabyte EP43-DS3L
CPU :Core 2 Duo 8400
Graka :Nvidia GTX 560Ti 2GB
Ram :4GB OCZ Kit DDR2 1066
Sound :SB Live 5.1
2x500 GB WD HDD

[center]Bild[/center]
[center]Bild[/center]
Benutzeravatar
Seewolf
Draufgänger
Draufgänger
Beiträge: 837
Registriert: So 8. Dez 2002, 12:43
Wohnort: Am arsch der Welt
Alter: 91

Beitrag von Seewolf »

@ Mad Max andeiner Stelle würde ich mir schnell eine Firewall besorgen und so teuer sind die ja nicht mehr !

Obwohl ich einen router habe kommen noch sehr wenige durch die werden dann geblockt durch meine firewall. Ich war früher auch so sorglos aber jag mal Spybotsearch and destroy durch der wird dir unzählige Spys anzeigen. [/url]
Bild


Bild
Die perfekte Frau sieht aus wie ein Engel, fickt wie der Teufel, bläst wie ein Orkan und verwandelt sich nach dem Sex in zwei Kumpels und ne Kiste !
Benutzeravatar
[KuB]HausTier
Triple-Ass
Triple-Ass
Beiträge: 175
Registriert: Di 6. Jan 2004, 22:49
Alter: 58

Beitrag von [KuB]HausTier »

WoodSTokk hat geschrieben:Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk
Richtig !

Die Frage is nur was für'n Router (Linux-Möhre und/oder externer Hardware-Router bzw. dhcp-Kiste) ?
Welche Ports wurden freigegeben, zwecks Downloads, Games oder was weiss ich (sollte, aber weiss man ja nich immer :wink: ) ?

Ist zwar alles halb so schlimm (denke ich mal), aber Probs könnte es hier und da schon geben...
... erst recht ganz ohne Firewall...

Gruss

HT
Benutzeravatar
WoodSTokk
Helpdesk
Helpdesk
Beiträge: 2634
Registriert: Fr 6. Dez 2002, 03:09
Wohnort: Wien/Österreich/Europa/Erde
Alter: 53

Beitrag von WoodSTokk »

Die Frage 'was für ein Router' stellt sich hier nicht da alles was sich Router nennt (Hardwarerouter) oder als Router arbeitet (Linux) das Netzwerk NATet.

NAT = Network Allocation Table
Ein Router hat 2 Seiten, die externe wo er vom Internet erreichbar ist und eine IP vom Provider bekommt und eine interne wo er eine IP hat die nur für private Zwecke verwendet werden darf.
Dein Rechner hat ebenfalls eine IP aus dem privaten Bereich und als Gateway (das Tor zur Welt) hat er die interne IP des Routers.
Wenn du jetzt eine Verbindung aufbaust (Mail, Web, News, etc...) wird die Verbindung zum Gateway geschickt (zum Router). Dieser erkennt daß sich der Zielrechner nicht im privaten Bereich befindet, schreibt eine Notiz in die NAT, maskiert die IP des Senders (private IP's dürfen im i-net nicht verwendet werden) und sendet das Paket über das externe Interface.
Wenn jetzt eine Antwort kommt, sieht der Router in die NAT ob eine dazu passende Verbindung eingetragen ist. Wenn ja, dann schreibt er diesmal die IP des Empfängers um und sendet es über das interne Interface. Wenn nicht, lässt er es still und heimlich fallen.

Nachdem der Exploit in der Q3-Engine nur ein unprivilegiertes Port (> 1024) öffnet aber selbst nichts sendet, ist in der NAT nichts vermerkt und der Router wird alle Anfragen an TCP-Port 27970 dropen.

Achtung:
Es gibt Leute die mit ihren Hardwareroutern und Onlinespiele Probleme hatten und deshalb eine fixe Route im Router definiert haben.
Diese sollten unbedingt ihre Routerconfig überprüfen!

DHCP = Dynamic Host Configuration Protocol
Das hat mit routing, nating und masquerading nichts zutun.
DHCP dient dazu einem Rechner eine Netzwerkeinstellung anzubieten wenn er keine hat (IP automatisch, DNS automatisch, etc...).

mfG WoodSTokk
Du scheisst es nicht zu wetzen
Testserver: @peStable (95.129.206.243:27960)
Benutzeravatar
[KuB]HausTier
Triple-Ass
Triple-Ass
Beiträge: 175
Registriert: Di 6. Jan 2004, 22:49
Alter: 58

Beitrag von [KuB]HausTier »

Warum sollte ein DHCP-Server nicht auch als Router arbeiten und somit den verbundenen Clients einen Internetzugang ermöglichen ? (irgendwie arbeitet ein Hardware-Router ja ähnlich)
OK, für Heimnetzwerke etwas weit ausgeholt und etwas am Thema vorbei, aber immerhin ein Gedanke.

Wie von dir angesprochen, ging es mir um mögliche Schwachstellen durch Änderungen der Routerconfig, welche bei einigen Modellen erforderlich sind da sonst Online-Games der Mittelfinger gezeigt werden könnte.

Habe mich wohl etwas zu knapp und somit nicht wirklich verständlich ausgedrückt... einen langen Nachmittag im Biergarten sei dank... :wink: :lol:
Benutzeravatar
WoodSTokk
Helpdesk
Helpdesk
Beiträge: 2634
Registriert: Fr 6. Dez 2002, 03:09
Wohnort: Wien/Österreich/Europa/Erde
Alter: 53

Beitrag von WoodSTokk »

Fast alle Hardwarerouter haben einen DHCP-Server integriert aber deshalb hat DHCP noch lange nichts mit routing zutun.

Wenn ein Host sein Networkinterface aktiviert und es auf 'automatic' eingestellt ist, sendet er darüber eine unverbindliche Anfrage an alle (Broadcast) ob irgendwer eine Einstellung für sein Interface zur Verfügung hat. (DISCOVER)
Sollte sich im selben Netzwerksegment ein DHCP-Server befinden, bietet er diesem orientierungslosen Host eine IP-Adresse an. (OFFER) Auch das ist unverbindlich. Der Host muss sie nicht annehmen.
Wenn der Host mit dieser IP einverstanden ist, benachrichtigt er den DHCP-Server das er diese IP gerne hätte. (REQUEST)
Der DHCP-Server bestädingt und sendet dem Host noch zusätzliche Einstellungen wie Subnetmask, Gateway, DNS-Adressen, etc... (ACK)

Dies ist eine Kurzfassung des Gesprächs mit einem DHCP-Server die nur veranschaulichen soll, was ein DHCP macht und wie die Hosts mit automatischer NIC zu ihrer IP kommen.
Man sieht auch das DHCP nichts mit routing zu tun hat ;)
Ich hoffe ich konnte hiermit ein Service das jeder vom Namen her kennt aber keiner weis genau was es tut, etwas erklären.

mfG WoodSTokk
Du scheisst es nicht zu wetzen
Testserver: @peStable (95.129.206.243:27960)
[KuB]NasenBaer
ciTy Team
ciTy Team
Beiträge: 157
Registriert: Mo 11. Jul 2005, 18:02
Kontaktdaten:

Beitrag von [KuB]NasenBaer »

Patches gibts da :
http://www.idsoftware.com/
85.214.21.186:27960 [KuB]PublicServer ET-Pro 3.2.6 (6 Standartmaps Campain)
83.243.42.79:26960 [KuB]CustomServer ETPro 3.2.6
#kub @qnet
http://www.k-u-b.com
http://www.alphabetisierung.de/
http://www.duden.de/
Antworten

Zurück zu „Allgemein Off Topic“