F.E.A.R. で使用される Monolith Lithtech エンジンにおけるフォーマットストリングの脆弱性
| Title |
F.E.A.R. で使用される Monolith Lithtech エンジンにおけるフォーマットストリングの脆弱性
|
| Summary |
First Encounter Assault Recon (F.E.A.R.) で使用される Monolith Lithtech エンジンには、Punkbuster (PB) が有効になっている際、フォーマットストリングの脆弱性が存在します。 本脆弱性は、CVE-2004-1500 とは異なる脆弱性です。
|
| Possible impacts |
第三者により、以下のフォーマットストリング指定子を介して、任意のコードを実行される、またはサービス運用妨害 (デーモンクラッシュ) 状態にされる可能性があります。 (1) UDP ポート 27888 上の YPG サーバへの PB_Y パケット (2) UDP ポート 27888 上の UCON への PB_U パケット |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Oct. 1, 2007, midnight |
| Registration Date |
Sept. 25, 2012, 4:59 p.m. |
| Last Update |
Sept. 25, 2012, 4:59 p.m. |
|
CVSS2.0 : 危険
|
| Score |
9.3
|
| Vector |
AV:N/AC:M/Au:N/C:C/I:C/A:C |
Affected System
| monolith productions |
|
first encounter assault recon 1.08 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年09月25日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2007-5247
| Summary |
Multiple format string vulnerabilities in the Monolith Lithtech engine, as used by First Encounter Assault Recon (F.E.A.R.) 1.08 and earlier, when Punkbuster (PB) is enabled, allow remote attackers to execute arbitrary code or cause a denial of service (daemon crash) via format string specifiers in (1) a PB_Y packet to the YPG server on UDP port 27888 or (2) a PB_U packet to UCON on UDP port 27888, different vectors than CVE-2004-1500. NOTE: this issue might be in Punkbuster itself, but there are insufficient details to be certain.
|
| Publication Date |
Oct. 7, 2007, 2:17 a.m. |
| Registration Date |
Jan. 29, 2021, 2:21 p.m. |
| Last Update |
Oct. 16, 2018, 6:41 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:monolith_productions:first_encounter_assault_recon:*:*:*:*:*:*:*:* |
|
1.08 |
|
|
Related information, measures and tools
Common Vulnerabilities List