anpera.net
http://anpera.homeip.net/phpbb3/

[DS2-3] Massive Sicherheitslücken
http://anpera.homeip.net/phpbb3/viewtopic.php?f=34&t=5420
Seite 1 von 1

Autor:  Bathory [ Mi 12 Sep, 2012 17:33 ]
Betreff des Beitrags:  [DS2-3] Massive Sicherheitslücken

Disclaimer: Dieser Thread ist gewollt "nicht wirklich zu gebrauchen" sollte jedem klar sein warum.

Info vorab: Alle DS-Versionen < 3.4 enthalten massive Sicherheitslücken und damit meine ich keine kleinen schnuckeligen Cheater-Exploits um schnell an Gold zu kommen sondern morgens nach dem Kaffee-feststellen-dein-lotgd-Server-ist-nicht-mehr-da-Exploit-Typ.

Ich habe lange Zeit überlegt wie ich diese Information öffentlich machen sollte.

Jedem sollte klar sein, dass ich hier keine Fix-Anleitung bieten kann (vermutlich wäre euer Server schneller gehackt, als das ihr hier den Thread ließt;) ).

Für den Moment kann ich nur jedem empfehlen, der eine DS Version verwendet untersucht euren Code mal gründlich, alle anderen sollten vorerst keine DS-Version verwenden.
(Noch mal der Hinweis für DS-Versionen gibt es weder Updates noch Support noch irgendwelche Haftung, sprich die berühmte Benutzung auf eigene Gefahr.)

Ich werde mir noch eine Möglichkeit ausdenken den Fix zu verbreiten ohne dass dies zu unerwünschten Hacks führt, bin für Vorschläge offen.

Grüße,
bathi

Autor:  MySql [ Do 13 Sep, 2012 15:49 ]
Betreff des Beitrags:  Re: [DS2-3] Massive Sicherheitslücken

Die wohl einfachste Lösung wäre wohl, dass Dich betroffene Serverbetreiber via PN anschreiben und unter Nachweis das sie einen DS-Server besitzen (Hier vielleicht eine Mail vom Admin Account direkt vom Server an Dich) den Fix von Dir via PN erhalten.

Weiteres wäre wohl auch gut: Die DS-Version die es bei Atrahor zum Download gibt sofort zu fixen, damit nachkommende Serverbetreiber diesem Problem nicht mehr ausgesetzt sind.

Autor:  Bathory [ Fr 14 Sep, 2012 18:18 ]
Betreff des Beitrags:  Re: [DS2-3] Massive Sicherheitslücken

Danke für die Rückmeldung :)

leider sehe ich dabei immer noch das Problem, dass somit nicht alle "zeitnah" den Fix erhalten und wenn der erstmal im Umlauf ist sehe ich Schwarz für nicht gefixte Server. (Will keine Panik verbreiten, aber der eine Exploit hat es wirklich in sich.)

Die 2.5 wurde bewusst nicht gepatched, weil man dann, mit einem simplen Diff-Tool, die besagte Stelle innerhalb weniger Sekunden hätte, dann könnte ich ihn auch gleich hier öffentlich posten (worrauf es vermutlich hinauslaufen wird, da ich denke dass alle Möglichkeiten Ihre Schwächen haben).

Mal schauen ob sich vllt mal ein Paar Admins von DS-Servern noch zu Wort melden :)

Autor:  Salator [ So 16 Sep, 2012 23:27 ]
Betreff des Beitrags:  Re: [DS2-3] Massive Sicherheitslücken

Wenn es auf Zeitgleichheit ankommt wäre mein Vorschlag, möglichst viele Admins zu kontaktieren dass an einem definierten Tag zu definierter Uhrzeit der Patch veröffentlicht wird. Keine Ahnung vieviele der Mitleser dann wirklich das Zeug dazu haben innerhalb von Minuten aus dem Patch einen Hack zu entwickeln und abzufeuern.
Wenn es nur darum geht Scriptkiddies draußen zu halten kann der Patch auch direkt verteilt werden, so dass zum Veröffentlichungstermin die gröbste Gefahr schon beseitigt ist.

Autor:  Elouar [ Mi 19 Sep, 2012 18:21 ]
Betreff des Beitrags:  Re: [DS2-3] Massive Sicherheitslücken

Tach allerseits...

Das mit dem Server Weg über Nacht hatte ich mittlerweile bereits zwei mal. Zum Glück mach ich fast täglich Backups und das ist nicht weiter schlimm aber jetzt weiß ich ja zumindest warum das passiert ist.

Seite 1 von 1 Alle Zeiten sind UTC + 1 Stunde
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/