[重要] 来自UA的警告!!!!!!!!!!!!!

z81 · 发表于 2003-11-23 18:29:16

HLDS Exploit Discovered

An exploit has been discovered in the HLDS server engine that could allow an attacker to gain control of your HLDS server through rcon. VALVe will be releasing an update in the next couple days to address the problem, in the meantime it is HIGHLY RECOMMENDED that you set the following on your server:

sv_allowdownload 0

The drawback to this temporary workaround is that visitors to your server will not be able to download custom maps, sounds, etc. from your server. This is a small price to pay to protect your server from being compromised.

这下安装非常用地图的SERVER恐怕没人了!!!!!!!

8738 · 发表于 2003-11-23 21:57:30

这个update是指1.5还是1.6呢？或者是所有版本的cs都会遭遇这个有可能的漏洞？

z81 · 发表于 2003-11-24 07:55:52

最初由 8738 发表
这个update是指1.5还是1.6呢？或者是所有版本的cs都会遭遇这个有可能的漏洞？

应该同时都存在

HarryPotter · 发表于 2003-11-24 13:44:46

http://forums.unitedadmins.com/index.php?showtopic=33612

这个漏洞就是说用户可以下载服务器的cfg文件，所以sv_allowdownload 0就可以避免
已经有补丁了，用HLDSUPDATE手工升级没，不过HLDS4.111d好象没有HLDSUPDATE啊。

homework · 发表于 2003-11-24 13:47:04

英文高手，，，

我郁闷中。。。。。。。。。。

HarryPotter · 发表于 2003-11-24 16:46:07

我刚刚用这个方法成功的取得了一个公共主机的server.cfg，而且当要求下载一个很大的文件比如de_torn.bsp地图文件时HLDS会崩溃。所以大家最好禁止sv_allowdownload

HarryPotter · 发表于 2003-11-24 16:49:47

如果一定要download的话就别把rcon密码放到server.cfg，而应该另外建一个cfg包含rcon密码的CFG文件，然后用hlds.exe +exec password.cfg来设置RCON密码，当然password.cfg这个文件名就不要让别人知道了

mccat · 发表于 2003-11-24 16:55:10

+ip 203.212.5.87 +port 27017 +servercfgfile XXX.cfg +ma
xplayers 16 +map de_dust2 -autoupdate -insecure
这个样子不可以避免吗？

HarryPotter · 发表于 2003-11-24 17:44:42

可以的，只要不使用标准的文件名就行了，这样别人也猜不到你的CFG文件名

tsdyy · 发表于 2003-11-24 19:42:14

没看明白...
应该怎么做？
PS:顺便告诉怎么下载server.cfg啦，嘿嘿....

[重要] 来自UA的警告!!!!!!!!!!!!!

！！！！！！！！！！！！！！