anpera.net

anpera.net

experimental server @home
Aktuelle Zeit: Do 28 Mär, 2024 14:01

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 5 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: [DS2-3] Massive Sicherheitslücken
BeitragVerfasst: Mi 12 Sep, 2012 17:33 
Offline
Profi
Profi

Registriert: Mo 20 Apr, 2009 00:30
Beiträge: 125
Disclaimer: Dieser Thread ist gewollt "nicht wirklich zu gebrauchen" sollte jedem klar sein warum.

Info vorab: Alle DS-Versionen < 3.4 enthalten massive Sicherheitslücken und damit meine ich keine kleinen schnuckeligen Cheater-Exploits um schnell an Gold zu kommen sondern morgens nach dem Kaffee-feststellen-dein-lotgd-Server-ist-nicht-mehr-da-Exploit-Typ.

Ich habe lange Zeit überlegt wie ich diese Information öffentlich machen sollte.

Jedem sollte klar sein, dass ich hier keine Fix-Anleitung bieten kann (vermutlich wäre euer Server schneller gehackt, als das ihr hier den Thread ließt;) ).

Für den Moment kann ich nur jedem empfehlen, der eine DS Version verwendet untersucht euren Code mal gründlich, alle anderen sollten vorerst keine DS-Version verwenden.
(Noch mal der Hinweis für DS-Versionen gibt es weder Updates noch Support noch irgendwelche Haftung, sprich die berühmte Benutzung auf eigene Gefahr.)

Ich werde mir noch eine Möglichkeit ausdenken den Fix zu verbreiten ohne dass dies zu unerwünschten Hacks führt, bin für Vorschläge offen.

Grüße,
bathi


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Do 13 Sep, 2012 15:49 
Offline
Freak
Freak
Benutzeravatar

Registriert: Di 01 Mai, 2007 13:57
Beiträge: 1634
Wohnort: Dortmund.
Geschlecht: Männlich
LoGD: Lokal.
Skype: josh.hoiul
Die wohl einfachste Lösung wäre wohl, dass Dich betroffene Serverbetreiber via PN anschreiben und unter Nachweis das sie einen DS-Server besitzen (Hier vielleicht eine Mail vom Admin Account direkt vom Server an Dich) den Fix von Dir via PN erhalten.

Weiteres wäre wohl auch gut: Die DS-Version die es bei Atrahor zum Download gibt sofort zu fixen, damit nachkommende Serverbetreiber diesem Problem nicht mehr ausgesetzt sind.

_________________
Never change a running system. Bullshit! ;)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 14 Sep, 2012 18:18 
Offline
Profi
Profi

Registriert: Mo 20 Apr, 2009 00:30
Beiträge: 125
Danke für die Rückmeldung :)

leider sehe ich dabei immer noch das Problem, dass somit nicht alle "zeitnah" den Fix erhalten und wenn der erstmal im Umlauf ist sehe ich Schwarz für nicht gefixte Server. (Will keine Panik verbreiten, aber der eine Exploit hat es wirklich in sich.)

Die 2.5 wurde bewusst nicht gepatched, weil man dann, mit einem simplen Diff-Tool, die besagte Stelle innerhalb weniger Sekunden hätte, dann könnte ich ihn auch gleich hier öffentlich posten (worrauf es vermutlich hinauslaufen wird, da ich denke dass alle Möglichkeiten Ihre Schwächen haben).

Mal schauen ob sich vllt mal ein Paar Admins von DS-Servern noch zu Wort melden :)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: So 16 Sep, 2012 23:27 
Offline
Profi
Profi
Benutzeravatar

Registriert: Mo 02 Feb, 2009 21:11
Beiträge: 168
Geschlecht: Männlich
LoGD: salator.selfhost.de/lotgd
Wenn es auf Zeitgleichheit ankommt wäre mein Vorschlag, möglichst viele Admins zu kontaktieren dass an einem definierten Tag zu definierter Uhrzeit der Patch veröffentlicht wird. Keine Ahnung vieviele der Mitleser dann wirklich das Zeug dazu haben innerhalb von Minuten aus dem Patch einen Hack zu entwickeln und abzufeuern.
Wenn es nur darum geht Scriptkiddies draußen zu halten kann der Patch auch direkt verteilt werden, so dass zum Veröffentlichungstermin die gröbste Gefahr schon beseitigt ist.

_________________
if(date("ymmd")=="10050502") echo("Der alte Sack wird heute 40");


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Mi 19 Sep, 2012 18:21 
Offline
User
User

Registriert: Mo 25 Jan, 2010 22:09
Beiträge: 12
Wohnort: Davos/Schweiz
Geschlecht: Männlich
LoGD: http://ancaria.ch/source.php
Tach allerseits...

Das mit dem Server Weg über Nacht hatte ich mittlerweile bereits zwei mal. Zum Glück mach ich fast täglich Backups und das ist nicht weiter schlimm aber jetzt weiß ich ja zumindest warum das passiert ist.


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 5 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 16 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen
Du darfst keine Antworten zu Themen in diesem Forum erstellen
Du darfst deine Beiträge in diesem Forum nicht ändern
Du darfst deine Beiträge in diesem Forum nicht löschen
Du darfst keine Dateianhänge in diesem Forum erstellen

Suche nach:
Gehe zu:  
cron
POWERED_BY
Deutsche Übersetzung durch phpBB.de
anpera.net - Impressum