VulDB: Id Software Quake 3 Engine UDP Request Parser getstatus Denial of Service
Allgemein
scipID: 4974
Betroffen: Id Software Quake 3 Engine
Veröffentlicht: 03.01.2010
Risiko: 
problematisch
Eintrag: 79.6% komplett
Erstellt: 02.04.2012
Aktualisiert: 03.09.2012
Beschreibung
Es wurde eine problematische Schwachstelle in Id Software Quake 3 Engine ausgemacht. Betroffen hiervon ist die Funktion getstatus der Komponente UDP Request Parser. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für die Verfügbarkeit.
Die Schwachstelle wurde am 03.01.2010 publik gemacht. Das Advisory kann von icculus.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 19.12.2011 unter CVE-2010-5077 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde am 19.04.2012 ein Plugin mit der ID 58786 (Fedora 16 2012-5434) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet und im Kontext local ausgeführt.
Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Id Software hat also unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (80644) dokumentiert.CVSS
Base Score: 6.3 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:id_software:quake_3_engine
Exploiting
Klasse: Denial of Service
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Nessus ID: 58786
Nessus Name: Fedora 16 2012-5434
Nessus Family: Fedora Local Security Checks
Nessus Context: local
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Timeline
03.01.2010 | Advisory veröffentlicht
03.01.2010 | Gegenmassnahme veröffentlicht
19.12.2011 | CVE zugewiesen
29.03.2012 | OSVDB Eintrag erstellt
02.04.2012 | VulDB Eintrag erstellt
19.04.2012 | Nessus Plugin veröffentlicht
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: icculus.org
OSVDB: 80644
CVE: CVE-2010-5077 (mitre.org) (nist.org) (cvedetails.com)
