Doom-Gaming-Server verwundbar
Wie der Onlinedienst Heise mitteilt, wurden in dem kostenlosen Doom-Server Zdaemon zwei potentielle Sicherheitsrisiken entdeckt, die es einem Angreifer unter Umständen ermöglichen, den kompletten Server lahmzulegen.
Um die veröffentlichten Risiken ausnutzen zu können, benötigt der Angreifer das Server-Passwort, wenn es zwingender Bestandteil der Verbindung zum Server ist. Darüber hinaus wird das Einschleusen von schädlichem Code dahingehend erschwert, dass sämtliche Zeichen im Dateinamen in Großbuchstaben gewandelt wird.
Für den zweiten Fall wird zusätzlich noch der Zugang zu einem laufenden Spiel vorausgesetzt. In diesem Fall kann auch der komplette Server unter bestimmten Bedingungen zum Absturz gebracht werden. Betroffen von beiden Problemen sei die unter der GPL veröffentlichten Version 1.06 des Doom-Gaming-Servers Zdeamon. Nachfolgende Versionen dieser Software wurden nicht mehr mit Quellcode ausgeliefert, so dass die Fehlersuche hier erschwert wurde. Dem Advisory von Auriemma zur Folge sei allerdings auch die aktuelle Version 1.08.01 davon betroffen, sowie der auf den gleichen Quellen aufbauende Doom-Server X-Doom.
Zur Stunde ist noch für keines der genannten Software-Pakete ein Update oder Bugfix, weder für die Windows- noch für die Linux-Variante, erschienen.