Seite 1 von 2

Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Verfasst: Sa 6. Mai 2006, 16:50
von kc2k

Verfasst: Sa 6. Mai 2006, 20:06
von OBC-Freeman
Na klasse da ist man nichtmal mer beim zocken sicher :evil:


mfg OBC-Freeman

Re: Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Verfasst: Sa 6. Mai 2006, 20:46
von silver
heise hat geschrieben:Bislang ist noch kein Patch zum Schließen der Sicherheitslücke verfügbar.
ich bezweifel das da auch viel kommen wird.

Verfasst: So 7. Mai 2006, 00:19
von WoodSTokk
Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk

Re: Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Verfasst: So 7. Mai 2006, 01:03
von kc2k
Silver hat geschrieben:
heise hat geschrieben:Bislang ist noch kein Patch zum Schließen der Sicherheitslücke verfügbar.
ich bezweifel das da auch viel kommen wird.
denk ich mal auch

Woodstock hat geschrieben:Jede halbwegs gut konfigurierte Firewall fängt sowas ab
es gibt aber noch genug leute die keine firewall benutzen.

Verfasst: So 7. Mai 2006, 02:20
von Seewolf
Also ist das für mich uninteressant weil ich einen router und eine friewall besitze und benutze :) ?

Verfasst: So 7. Mai 2006, 10:54
von silver
Seewolf hat geschrieben:Also ist das für mich uninteressant weil ich einen router und eine friewall besitze und benutze :) ?
so siehts aus

Re: Buffer Overflow bei Netzwerk-Shootern mit Quake-3-Engine

Verfasst: So 7. Mai 2006, 11:45
von Mad Max(GER)
kc2k hat geschrieben: es gibt aber noch genug leute die keine firewall benutzen.
So wie ich !!

was macht das Dingen jetzt genau :?:

Verfasst: So 7. Mai 2006, 12:19
von OBC-Freeman
WoodSTokk hat geschrieben:Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk
Dan hab ich ja nochmal glück gehabt :)

mfg OBC-Freeman

Verfasst: So 7. Mai 2006, 18:11
von Seewolf
@ Mad Max andeiner Stelle würde ich mir schnell eine Firewall besorgen und so teuer sind die ja nicht mehr !

Obwohl ich einen router habe kommen noch sehr wenige durch die werden dann geblockt durch meine firewall. Ich war früher auch so sorglos aber jag mal Spybotsearch and destroy durch der wird dir unzählige Spys anzeigen. [/url]

Verfasst: So 7. Mai 2006, 19:15
von [KuB]HausTier
WoodSTokk hat geschrieben:Nachdem der Exploit eine Shell aufmacht, wird die Verbindung von aussen nach innen hergestellt. Jede halbwegs gut konfigurierte Firewall fängt sowas ab bzw. Leute mit Router sind auch sicher da der Router nicht weis wem die Datenpakete gehören.

mfG WoodSTokk
Richtig !

Die Frage is nur was für'n Router (Linux-Möhre und/oder externer Hardware-Router bzw. dhcp-Kiste) ?
Welche Ports wurden freigegeben, zwecks Downloads, Games oder was weiss ich (sollte, aber weiss man ja nich immer :wink: ) ?

Ist zwar alles halb so schlimm (denke ich mal), aber Probs könnte es hier und da schon geben...
... erst recht ganz ohne Firewall...

Gruss

HT

Verfasst: Mo 8. Mai 2006, 01:06
von WoodSTokk
Die Frage 'was für ein Router' stellt sich hier nicht da alles was sich Router nennt (Hardwarerouter) oder als Router arbeitet (Linux) das Netzwerk NATet.

NAT = Network Allocation Table
Ein Router hat 2 Seiten, die externe wo er vom Internet erreichbar ist und eine IP vom Provider bekommt und eine interne wo er eine IP hat die nur für private Zwecke verwendet werden darf.
Dein Rechner hat ebenfalls eine IP aus dem privaten Bereich und als Gateway (das Tor zur Welt) hat er die interne IP des Routers.
Wenn du jetzt eine Verbindung aufbaust (Mail, Web, News, etc...) wird die Verbindung zum Gateway geschickt (zum Router). Dieser erkennt daß sich der Zielrechner nicht im privaten Bereich befindet, schreibt eine Notiz in die NAT, maskiert die IP des Senders (private IP's dürfen im i-net nicht verwendet werden) und sendet das Paket über das externe Interface.
Wenn jetzt eine Antwort kommt, sieht der Router in die NAT ob eine dazu passende Verbindung eingetragen ist. Wenn ja, dann schreibt er diesmal die IP des Empfängers um und sendet es über das interne Interface. Wenn nicht, lässt er es still und heimlich fallen.

Nachdem der Exploit in der Q3-Engine nur ein unprivilegiertes Port (> 1024) öffnet aber selbst nichts sendet, ist in der NAT nichts vermerkt und der Router wird alle Anfragen an TCP-Port 27970 dropen.

Achtung:
Es gibt Leute die mit ihren Hardwareroutern und Onlinespiele Probleme hatten und deshalb eine fixe Route im Router definiert haben.
Diese sollten unbedingt ihre Routerconfig überprüfen!

DHCP = Dynamic Host Configuration Protocol
Das hat mit routing, nating und masquerading nichts zutun.
DHCP dient dazu einem Rechner eine Netzwerkeinstellung anzubieten wenn er keine hat (IP automatisch, DNS automatisch, etc...).

mfG WoodSTokk

Verfasst: Mo 8. Mai 2006, 07:58
von [KuB]HausTier
Warum sollte ein DHCP-Server nicht auch als Router arbeiten und somit den verbundenen Clients einen Internetzugang ermöglichen ? (irgendwie arbeitet ein Hardware-Router ja ähnlich)
OK, für Heimnetzwerke etwas weit ausgeholt und etwas am Thema vorbei, aber immerhin ein Gedanke.

Wie von dir angesprochen, ging es mir um mögliche Schwachstellen durch Änderungen der Routerconfig, welche bei einigen Modellen erforderlich sind da sonst Online-Games der Mittelfinger gezeigt werden könnte.

Habe mich wohl etwas zu knapp und somit nicht wirklich verständlich ausgedrückt... einen langen Nachmittag im Biergarten sei dank... :wink: :lol:

Verfasst: Di 9. Mai 2006, 00:47
von WoodSTokk
Fast alle Hardwarerouter haben einen DHCP-Server integriert aber deshalb hat DHCP noch lange nichts mit routing zutun.

Wenn ein Host sein Networkinterface aktiviert und es auf 'automatic' eingestellt ist, sendet er darüber eine unverbindliche Anfrage an alle (Broadcast) ob irgendwer eine Einstellung für sein Interface zur Verfügung hat. (DISCOVER)
Sollte sich im selben Netzwerksegment ein DHCP-Server befinden, bietet er diesem orientierungslosen Host eine IP-Adresse an. (OFFER) Auch das ist unverbindlich. Der Host muss sie nicht annehmen.
Wenn der Host mit dieser IP einverstanden ist, benachrichtigt er den DHCP-Server das er diese IP gerne hätte. (REQUEST)
Der DHCP-Server bestädingt und sendet dem Host noch zusätzliche Einstellungen wie Subnetmask, Gateway, DNS-Adressen, etc... (ACK)

Dies ist eine Kurzfassung des Gesprächs mit einem DHCP-Server die nur veranschaulichen soll, was ein DHCP macht und wie die Hosts mit automatischer NIC zu ihrer IP kommen.
Man sieht auch das DHCP nichts mit routing zu tun hat ;)
Ich hoffe ich konnte hiermit ein Service das jeder vom Namen her kennt aber keiner weis genau was es tut, etwas erklären.

mfG WoodSTokk

Verfasst: Di 9. Mai 2006, 02:50
von [KuB]NasenBaer
Patches gibts da :
http://www.idsoftware.com/