BFCommand & Control Server Manager - программа
управления сервером для Battlefield 1942, Battlefield
Vietnam и Battlefield 2 (BF2CC). Обнаружено несколько
уязвимостей.
Анонимный доступ. Любой пользователь
может подключиться к серверу и получить Super
Admin-скими привилегии. Ошибка в login - NULL (0x00) в
имени пользователя позволит обойти
аутентификацию.
| "login" "\x1e" | //command | |
| "\0" "\x1e" | //username (NULL byte) | |
| "none" "\x1e" | //password | |
| "none" "\x1e" | //username | |
| "" "\x1e" | //??? | |
| "" | //??? | |
| "\x00\x40\x40\x00" | //command delimiter |
DoS: двадцать последовательных соединений (connect
и disconnect) без отсылки команды login займут все
доступные соединения сервера и он
перестанет отвечать на другие удаленные
запросы.
Эксплоит:
http://aluigi.altervista.org/poc/bfccown.zip
