CVE编号
CVE-2018-1000224利用情况
暂无补丁情况
官方补丁披露时间
2018-08-21漏洞描述
Godot引擎版本2.1.5之前的所有版本,3.0.6之前的所有3.0版本。包含有符号/无符号比较、缓冲区大小错误、整数溢出、(反)序列化函数(core/io/marshalls.cpp)中丢失的填充初始化漏洞(可能导致DoS(数据包死亡)、未初始化内存可能泄漏)。这种攻击似乎是可利用的,通过一个使用内置序列化(如游戏服务器或游戏客户端)的Godot应用程序在网络上接收到一个变形的包。可由多人游戏对手触发。这个漏洞似乎在feaf03421dda0213382b51aff07bd5a96b29487b提交后的2.1.5、3.0.6主分支中得到了修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/godotengine/godot/issues/20558 | |
| https://godotengine.org/article/maintenance-release-godot-2-1-5 | |
| https://godotengine.org/article/maintenance-release-godot-3-0-6 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | godotengine | godot | * |
Up to (excluding) 2.1.5 |
|||||
| 运行在以下环境 | |||||||||
| 应用 | godotengine | godot | * |
From (including) 3.0.0 |
Up to (excluding) 3.0.6 |
||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_27 | godot | * |
Up to (excluding) 3.0.6-1.fc27 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_27 | godot-debuginfo | * |
Up to (excluding) 3.0.6-1.fc27 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_27 | godot-runner | * |
Up to (excluding) 3.0.6-1.fc27 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_27 | godot-server | * |
Up to (excluding) 3.0.6-1.fc27 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_28 | godot | * |
Up to (excluding) 3.0.6-1.fc28 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_28 | godot-debuginfo | * |
Up to (excluding) 3.0.6-1.fc28 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_28 | godot-runner | * |
Up to (excluding) 3.0.6-1.fc28 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_28 | godot-server | * |
Up to (excluding) 3.0.6-1.fc28 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_29 | godot | * |
Up to (excluding) 3.0.6-1.fc29 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_29 | godot-debuginfo | * |
Up to (excluding) 3.0.6-1.fc29 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_29 | godot-runner | * |
Up to (excluding) 3.0.6-1.fc29 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_29 | godot-server | * |
Up to (excluding) 3.0.6-1.fc29 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_7 | godot | * |
Up to (excluding) 3.0.6-1.el7 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_7 | godot-debuginfo | * |
Up to (excluding) 3.0.6-1.el7 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_7 | godot-runner | * |
Up to (excluding) 3.0.6-1.el7 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_7 | godot-server | * |
Up to (excluding) 3.0.6-1.el7 |
|||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 100
还没有评论,来说两句吧...