遊戲使命召喚畸形stats命令拒絕服務漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】使命召喚（Call of Duty）是Infinity Ward開發的非常流行的第一人稱扮演遊戲。使命召喚在處理畸形格式的請求資料時存在漏洞，遠程攻擊者可能利用此漏洞導致伺服器不可用。

發佈日期：2008-05-02

更新日期：2008-05-04

受影響系統：

Activision Call of Duty 4 <= 1.5

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 29026

使命召喚（Call of Duty）是Infinity Ward開發的非常流行的第一人稱扮演遊戲。

使命召喚在處理畸形格式的請求資料時存在漏洞，遠程攻擊者可能利用此漏洞導致伺服器不可用。

使命召喚4引入了一類被稱為stats的無連接命令，玩家加入遠程遊戲後就會順序發送0到6類型的上述命令。伺服器還接收額外的7類型stats命令，如果客戶端使用了這個7類型命令的話，遠程伺服器就會由於負數大小值的memcpy()而崩潰。

成功利用這個漏洞要求攻擊者知道受保護伺服器的口令，此外如果伺服器要求的話還需要擁有有效的cdkey。

<*來源：Luigi Auriemma （[email protected]）

鏈接：http://aluigi.altervista.org/adv/cod4statz-adv.txt

*>

建議：

----------------------------------------------------------------------------

廠商補丁：

Activision

----------

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本：

http://www.activision.com/en_US/home/home.jsp

(