1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-11 / crossfire |
| Date de Parution | 22 Avril 2006 |
| Impact | Haut |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| games-server/crossfire-server | < 1.9.0 | >= 1.9.0 | Toutes |
3. Synopsis
Le serveur de jeu Crossfire est vulnérable à un déni de service, et potentiellement à une exécution de code arbitraire.
4. Informations
Crossfire est un jeu multiplayer d'aventure et de role-play. Le serveur de jeu Crossfire permet à de nombreux clients compatibles de se connecter pour participer à des jeux coopératifs.
5. Description
Luigi Auriemma a découvert une vulnérabilité dans le serveur de jeu Crossfire, au niveau de sa gestion de l'option "oldsocketmode", lors du traitement de requêtes excessivement longues.
6. Impact de la faille
En forgeant certaines requêtes excessivement longues, en mode "oldsocketmode", il est possible de causer un déni de service sur le serveur Crossfire, et potentiellement l'exécution d'une portion de code arbitraire avec les permissions du serveur de jeu.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Il est recommande aux utilisateurs de Crossfire de mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=games-server/crossfire-server-1.9.0"
9. Références