z81 发表于 2003-11-23 18:29:16

[重要] 来自UA的警告!!!!!!!!!!!!!

HLDS Exploit Discovered

An exploit has been discovered in the HLDS server engine that could allow an attacker to gain control of your HLDS server through rcon. VALVe will be releasing an update in the next couple days to address the problem, in the meantime it is HIGHLY RECOMMENDED that you set the following on your server:

sv_allowdownload 0

The drawback to this temporary workaround is that visitors to your server will not be able to download custom maps, sounds, etc. from your server. This is a small price to pay to protect your server from being compromised.


这下安装非常用地图的SERVER恐怕没人了!!!!!!!

8738 发表于 2003-11-23 21:57:30

这个update是指1.5还是1.6呢?或者是所有版本的cs都会遭遇这个有可能的漏洞?

z81 发表于 2003-11-24 07:55:52

最初由 8738 发表
这个update是指1.5还是1.6呢?或者是所有版本的cs都会遭遇这个有可能的漏洞?


应该同时都存在

HarryPotter 发表于 2003-11-24 13:44:46

http://forums.unitedadmins.com/index.php?showtopic=33612

这个漏洞就是说用户可以下载服务器的cfg文件,所以sv_allowdownload 0就可以避免
已经有补丁了,用HLDSUPDATE手工升级没,不过HLDS4.111d好象没有HLDSUPDATE啊。

homework 发表于 2003-11-24 13:47:04

!!!!!!!!!!!!!!

英文高手,,,

我郁闷中。。。。。。。。。。

HarryPotter 发表于 2003-11-24 16:46:07

我刚刚用这个方法成功的取得了一个公共主机的server.cfg,而且当要求下载一个很大的文件比如de_torn.bsp地图文件时HLDS会崩溃。所以大家最好禁止sv_allowdownload

HarryPotter 发表于 2003-11-24 16:49:47

如果一定要download的话就别把rcon密码放到server.cfg,而应该另外建一个cfg包含rcon密码的CFG文件,然后用hlds.exe +exec password.cfg来设置RCON密码,当然password.cfg这个文件名就不要让别人知道了

mccat 发表于 2003-11-24 16:55:10

+ip 203.212.5.87 +port 27017 +servercfgfile XXX.cfg +ma
xplayers 16 +map de_dust2 -autoupdate -insecure
这个样子不可以避免吗?

HarryPotter 发表于 2003-11-24 17:44:42

可以的,只要不使用标准的文件名就行了,这样别人也猜不到你的CFG文件名

tsdyy 发表于 2003-11-24 19:42:14

没看明白...
应该怎么做?
PS:顺便告诉怎么下载server.cfg啦,嘿嘿....
页: [1] 2 3
查看完整版本: [重要] 来自UA的警告!!!!!!!!!!!!!