关键漏洞信息 漏洞标题: UFO2000: Multiple vulnerabilities (GLSA 200702-10) 受影响的包: games-strategy/ufo2000 (所有架构) - 受影响版本: = 0.7.1062 发布日期: 2007年2月25日 严重性: 正常 可利用性: 远程 相关CVE编号: - CVE-2006-3788 - CVE-2006-3789 - CVE-2006-3790 - CVE-2006-3791 - CVE-2006-3792 - GLSA 200608-14 描述 五种漏洞被发现:recv_add_unit()中的缓冲区溢出;在decode_stringmap()中不当信任用户提供的字符串信息的问题;在游戏过程中通过各种命令进行数组处理的几个问题;server_protocol.cpp中的SQL注入;最后,在recv_map_data()中的第二次缓冲区溢出。 影响 攻击者可以发送精心设计的网络流量,作为多人游戏的一部分,可能导致在远程对手或服务器上执行任意代码。一个远程攻击者还可以在服务器帐户数据库上运行任意SQL查询,并通过对远程对手造成游戏崩溃来执行拒绝服务。 解决方案 当前UFO2000依赖于由于安全问题(dumb-0.9.2库(GLSA 200608-14)已被从Portage中移除)的dumb-0.9.2库。正因为如此,UFO2000已经被屏蔽,我们建议在下一版beta发布可以移除对dumb的依赖之前不要安装该包。 操作指令: