Používáte Half-Life servery? je tam vážná chyba

jen at vam to poshazujou a admïni se na to vy....., aspon ty decka zacnou konecne neco delat :)))

btw, nic proti, sam travim u pc vic nez 16hodin denne ale to jen ciste z pracovnich povinnosti.
aspon kdyby se ty lamy neco naucili, chodit s 4-3 umi kazdej wocas :)))

battlefield ma malo cz/sk serverov takze admini CS, serte na CS a otvarajte servery battlefieldu (samozrejme cracknute, na ktorych mozu hrat aj ludia s crackami a to hovorim akoze to mam original)

62.24.64.36

je na ftp://hlserver:hlserver@ftp.valvesoftware.com je hl 3.1.1.1d (linux)

GIN.cz public zase bezi
212.71.128.19:27015 cstrike
212.71.128.19:27016 dod

co se tyce kauzy zverejneni bugu, imho mohla jit ve 3 krocich
1. oznameni valve
2. oznameni komunite (ta by zacala tlacit na valve)
3. pokud neuspech, tak zverejnit exploit

Dobrý den p. Holčík,

já bych měl 1 dotaz a když máte tedy 3 PC na internet a určitě profík na detekci users; prosím Vás, jak se dá zjistit IP od libovolně zaslaného cizího emailu ??? Máte nějaký osvědčený recept?? Děkuji

Každý e-mail to má napsané ve své hlavičce, kterou vám každý program i téměř každý webmail rád ukáže.

Presne tak a ukazuje to i Outlook (office i express).

len ma tak napadlo, ze admini ktorym pozhadzovali tie servre a mali to na linuxe, nech si zistia z akych IPciek im to zhadzovali, pokial viem tak ten exploit sa smeruje na konkretny port takze by to nemal byt taky problem... napr takym snortom alebo inou security utilitkou. A dalsia vec, cudujem sa ze niekoho vobec napadlo spustit HLDS pod rootom :P

neni to nahodou pricinou toho ze porad crashuje esma?

Tohle musi fakt prgat totalni corak

dejte sem odkaz na DoS nastroje na utok na zive nebo rovnou nakej hackovaci na PC pana Holcika vzdyt proc ne at je upozornime na chyby !!!!!!!!!!!!!

Už se těším :o) jen pro jistotu, mám na internetu tři počítače. a zajímalo by mne, jak se k nim dostanete, asi hůř než na ten váš na Mistralu.

Pokial ja viem, zrovna zive.cz bolo velmi nachylne na navstevy ..

Sám jste si odpověděl.

... stejne jako PivX. Aspon se to rychle opatchuje. To, ze nejakej debil to nezkusi na svym hlds, ale na cizim, uz je jina vec. Nadavejte na Valve a na lamy, co tim shazuji HL / CS servery !!!

Mimochodem k tem fixum asi zdrojak k dispozici neni, ze? Co kdyz v tom neoficialnim patchi je backdoor? ;)

No co je podle vas admin serveru, ktery misto aby hledal patch tak si rve na autora bezneho clanku? Podle me to vypada na dvojce... "patnact rocneho decka". Proste i kdyz se mi ten bug TOTAL nehodi do kramu, jsem celkem rad, ze se kolem neho strhl povyk, protoze to je jedina cesta, jak s tim pohnout. Lepsi, nez aby mi sem nekdo vlezl a ja pak koukal jak tele na novy vrata... (ano, jako root, to boli  ). Takhle muzu pro klid duse holt server shodit a zaplatovat dokud nemam "ucpano". Neni to mije vina, muze za to vyrobce a tak na to mam pravo.

Trosku zapominas, ze admini HL serveru jsou jen nadsenci, kteri servery spustili pro verejny uzitek a jinak jsou to bezni studenti nebo lide pracujici uplne v jinem oboru. Neni jejich povinnosti kazdej den lestit weby a sledovat jesli nahodou nekdo nevymyslel cestu jak jejich server zneuzit. Postup Valve docela chapu, protoze ti ted finisuji pripravy revolucni hry Half-LIfe2 a na zaplaty her sest let stare urcite nemaji cas. Uznal bych tento clanek v pripade, ze by obsahoval pouze link na patch, ale primy link na odzkouseni, mi prijde hodne zahravani si s trpelivosti a ochotou adminu. Taky se muze stat, ze se na to ti lidi vykaslou a siroka verejnost nebude mit kde si zahrat cs. Admini prece za nic nemuzou, tak proc je trestat? Za co? Za jejich drinu (ano, starat se o herni server je drina)? Zverejnenim linku na destruktivni soft rozhodne nicemu nepomuze, v posledni rade se to dotkne Valve. Ti uz davno starickej Counter-Strike nehrajou. Zamyslete se proto prosim nad sebou a svymi pochody.

Nicmene zduvodnovat toto chovani tim, ze podobny clanek se objevil na profesionalnim webu zabyvajicim se primo temato zalezitostma, ktery zna a cte nepatrne procento ctenaru Zive mi prijde rovnez neopodstatnene.

moja rec, presne tak

Jazzman to napsal myslim velmi korektne (a m usetril psani ). Pane Holcik informovat je dobre a dulezite, ale smysl odkazu na destruktivni soft nechapu!!

presne tak, toto som sa snazil napisat vsetkymi prispevkami :D

Hm, s timto souhlasim (taky nejsem odvazanej hledat porad dokola, zda nahodou produkt X nema diru zverejnenou skupinou Y na foru Z...). Proste me dostala do kolen kultura vyjadrovani nekterych kolegu.... Osobne si myslim, ze zverejneni linku na kod neni prohresek az tak trestuhodny (nikoli poprava, pouze telesne tresty...), protoze informace, ze takovy kod existuje je pro administratora velice stimulujici  a pro utocnika naopak ten kod najit (i kdyby tu nebyl link) neni zas takovy problem...

leftiho na vas at se to tu poradne zahreje (:

osobne si myslim ze to nebolo naskodu zverejnit... schopni admini sa spamatali a patchli to. Je to ako mirek hovoril uplne normaalna vec zverejnovat taketo diery a bugy. Co sa tyka samotneho exploitu, aj to nieje problem najs na nete... takze nadavat na autora prispevku je absolutna infantilnost 

Infantilnost je uverejnenie linkov s programamy na zhadzovanie. To uplne rovnake ako keby k clanku pribalil virus .

Co sa tyka originalu (v anglictine) je uz predsa len tazsie pre toho kto nevie anglicky sa z toho vysomarit. A uplnej lame urcite nepride, ze ked ta linka v tom TXT subore nie je klikacia, ze sa da skopcit do browsera.

Je fajn, ze sa o chybach pise, nie je fajn ked sa uverejnia softy na "odskusanie". Miesto toho tam uplne stacil link na patche.

to ze autor informoval o bugu je uplne normalne, tak ho nechajte na pokoji, radsej mi dajte do ruk curakov, co to museli odskusat ci to funguje.

Cau brouku jak je buhehe. Nekdy zase dame 1on1 :)))

Btw clanek je dobra vec, kdyz o tom informuje, ale ne uz tehdy, pokud v nem jsou linky na onen program, kterym ti shazujou servery.

Podle toho co sleduju, tak ten rozmily haxor dodrzel jisty kodex a nejdrive upozornil vyrobce, tj Valve. Ti se na to slusne receno doslova vysrali. Dalsim krokem byl samozrejme bugreport vcetne sploitu. Dekuji autorovi za fix, vzhledem k tomu ze je pro retail verzi, tak je vlastne nepouzitelny ;) a predem dekuji dalsim za mnohonasobne zhozeny server nez se valve rozhoupe a vyda oficialni fix. Tzn lamicky, neobvinujte haxora, neobvinujte autora clanku, ale sve stiznosti smerujte na firmu Valve, developera vasi oblibene gamesky ;)

no, patch uz je na svete i pro klasicke hlds tedy i linuxovy port. vice viz http://server.counter-strike.net

Nejakemu vyvojarovi od Valve asi vedeni prislaplo koule aby neco rychle napsal ;)

No možná přišláplo, ale ty patche jsou stále neoficiální. k těm pivxovým pro win přibyly jen neoficiální pro tučňáky.

Pane Holciku vubec si z tech negativnich ohlasu nic nedelejte. Me se to, ze informujete libi a zustante u toho. Rozhodne nemohu souhlasit s tim, ze kdybyste o teto zprave nenapsal servery by bezely dal. Mozna jen v naivnich predstavach HL komunity. O bezpecnostnich chybach se ma informovat vzdy, udelal jste tedy spravnou vec.

Nebojte, nedělám. Nekempuju někde zalezlej v rohu s nadějí, že mne netrefí snajperkou.

ano ? myslis ze je korektne, ked sa da linka aj so spustacou binarkou co urobi vsetko za teba ? tak to mas trosku pomylene, nech si pisu o vsetkcy bugoch a exploitoch, ale nech nepisu presne linky !!! to je totalny neprofesionalizmus ...

To neni pravda, kdyz se objevi chyba postihujici Windows ci Linux, tyto clanky se objevuji take. A je to mozna jedina moznost jak donutit uzivatele aby bezpecnostni rizika braly vazne. Predstav te si ze by ted HL nikdo neopravoval. Cas od casu by v lepsim pripade padaly herni servery a nikdo by nevedel proc. A to uz vubec nemluvim o druhe chybe, ktery by mohla zapricinit celkovou kompromitaci OS na kterem hl bezi.

At se podivate kamkoliv podavat informace v IT Security je prioritou jen pak je totiz mozna ucinna obrana. To, ze byla k dispozici i binarka je snad uplne jedno, prootze drive nebo pozdeji by stejne nekdo zdrojak zkompiloval a dostal by se do obehu tak jako tak. A to uz se vubec nema smysl bavit o tom, ze zdrojak sel v tomto pripade zkompilovat zcela bez problemu.

dobre vidim, ze ty nie si admin servera ... nema vyznam sa s tebou o tom bavit ... a binarku skompilovat nie je problem, ale bol by to problem pre 15 rocne decko, ktore sa chce zabavit ...

Ja jsem Admin serveru ale nastesti nemusim provozovat takovy plevel jako HL je. (Spravuji OpenBSD) Jen se podivejte kolik melo Valve casu na vydani opravy a co udelalo??......vubec nic. Nikoho to nezajima. Jen cekam kdy se objevi nejaky cerv to pak bude zabava. A opravdu se mi libi admini, kteri si hl server pousti s privilegii roota nebo admina to je pak posusnanicko....a malo jich rozhodne neni. Takze pokud chcete na nekoho nadavat nenadavejte na 15ti lete deti ani na autory clanku. Napiste Valve, oni jsou totiz vini!!!!

takyto clanok je hlavne trhak pre navstevnost ... , len posledna poznanmka, ked dam 15 rocnemu decku do ruky zbran a niekoho zabije, tak koho to bude vina ?

zas takový terno to není, čte se to, ale míň než řada jiných bezpečnostních děr.
Jo a když ho dám 15letému děcku pistoli a ono někoho zastřelí, tak už bude trestně stíhatelný to děcko. ale i tak máte dost špatný přirovnání.

Nie, to je dobre prirovnanie. Len ho upresnim. Ked dojdete na namestie a na zem rozlozite vagon zbrani a okoloiduci si ich zacnu skusat a pozabijaju par civilistov, co myslite, nechaju vas policajti bez povsimnutia ?
Pocitacove lamy ak nemaju link na zive.cz na binarku si ju sice mozu najst inde, lenze im to bude chvilu trvat a vacsina to aj tak nespravi, kedze to nevie ani poriadne vyhladat.
Lenze ina lama, ktora je o nieco viac "enhanced" si to najde, napise clanok a da odkaz pre tisic dalsich lam. A pruser je na svete.
Nabuduce sem dajte rovno odkaz na virus pre M$ outlook, lamy len kliknu a rozposlu virus do sveta. A potom si napiste, ja nic, ja muzikant.

Máte pořád blbý přirovnání, likvidujete totiž redaktora novin, který upozorní na rozdávání zbraní na náměstí, navíc i ten co je rozdává není dle v bezpečnostních kruzích zažitých norem vinen, protože dostatečně dopředu upozornil policii, že díky díře v zákonech, opravitelné mrknutím oka je možné ty zbraně rozdávat. Podle vaší představy by se ty zbraně jako prodávaly dál, ale policie by pro jistotu zavřela všechny redaktory, aby o tom nikdo nevěděl.

Jedno kliknutí navíc by nikoho nezachránilo. nikomu sem nic nekompiloval, uvedl jsem jen odkaz. Mrzí mne, že HL komunita si ještě pořád myslí, že Security through obscurity má smysl. Windowsáci a linuxáci z toho už dávno vyrostli. PivX dal Valve nadstandardně času, máslo na hlavě má opravdu Valve.

Pokud se objevi chyba ve Windows nebo v Linuxu asi tezko si budu sam pusobit problem tim ze ji budu chtit vyzkouset. Ale kdyz nekdo rozjebe neco co pouziva 1000 dalsich lidi je to celkem na picu nemyslis????

Nejsi trochu mimo? A nacem ten hl asi bezi co ty chytrej? Neni to nahodou Win a Linux? Win a Linux nepouzivaji tisice uzivatelu, ale statisice.

A nejsi mimo ty? Kdyz zkusis doma u sebe nejakou chybu ve Win nebo Linuxu, tak ta chyba tezko poskodi statisice uzivatelu. Poskodis jen sam sebe. That's the point!   

OMG, ja se tu ale bavim o remote exploitech. Ale asi nevis o co jde. No jde videt ze hraci HL jsou ohledne sveta Security trochu mimo

No mozna nevim o co jde, ale je spousta veci, o kterych nevis ty a ja ano. Proste podle me mel autor upozornit na problem a ne davat link na program, kvuli kteremu tu vsichni pisou....

A proc nemel? Ten link byl i v originalnim textu takze proc nepouzit "citaci" ?

Ale jo dal ho tam uplne vychytane. Aspon si ted s tebou muzu po nocich chatovat... :P

Dyť ten odkaz na binárku je v tom samotným článku na Bugtraqu, fakt si myslíš, že jeden klik navíc rozhodne? PivX má na svým kontě více nalezených chyb, nepíšem o něm poprvý.

Jasně, můžeme diskutovat, zda se PivX zachoval korektně, nicméně konfera na Bugtraqu je moderovaná, takže ještě můžeš do toho zařadit i Security Focus.

bohuzel to autor nedomyslel ale predpokladam ze nehraje cs tak asi nevi co zpusobil tak prece jen kvuli tomu neni kokot....

ale je, mal mysliet

Vy, hraci CS by ste mali mysliet. To, co tu predvadzate ma vsetky znaky psychickej zavislosti. Je to pre vas droga. A ak sa uz aj jest nepojdete liecit, mali by ste si spomenut, ze tam vonku je aj zivot...

RRK

hmmm, gratulujem autorovi za najna<>, vec aku mohol ten kreten urobit, vdaka nemu padlo hned zo srandy par CS servrou, takze nech si tam da laskavo meno kto tu mega*****nu napisal! n1 lame

Touto cestou hladam curakov co mi zhadzovali server Bahno, aby som im mohol dat napicu.

Paruku vcera zhadzoval curak z IP 213.215.73.8  daj ho do bannlistu ako my a nezahraje si uz .

Ak mas IP nejakych inych curakov napis sem mame este dost prazdny bannlist.

Mno, heh... tak ta IP je IP cez providera na ktoreho idem na net, je to NAT, takze za nou je trosku viac kompov.

Ale zabanujte to, ja mam verejnu IP, a odvtedy pokoj od banov na DC a podobne .

Autor, ty si mi ale pekny kokotisko, keby si to tu nevypisal tak by tobolo ok truupik jebnutyyyyyyyyyyyyyyyyyyyyyyyyy

Ano, tím, že o tom nenapíšem, tak tam ta chyba nebude, jasně. Tohle není něco, co bychom si vymysleli mi, je to veřejná zpráva na oficiálním Internetu dostupná každému i těm co nechtějí šťourat v neveřejných IRC kanálech. Jasně je to blbý, ale tohle se fakt ututlat nedá.

... nemusis byt ani trochu zly protoze uplne staci ze se to dostalo ven ted .... vsechny cesky a slovensky servery down ...

Ste velki dementi. A pan Tomas Holcik je najvacsi. Toto je nehorazna debilita autora. Kazdy idiot si to bude chciet skusit a vsetky servre u nas aj v chechach su down.

Csplayo a ostatní na mne nadávající. Je to zcela normální zpráva z oficiálního serveru Bugtraq zaměřeného právě na zveřejňování chyb, není jen tam, ale i na řadě jiných míst internetu. My informujeme, stejně jako když se objeví podobně zveřejněná chyba třeba v Internet Exploreru nebo Windows, na kterou ještě není záplata, dáme o ní vědět.  Tohle se opravdu ututlat nedá.

lol, lenze take chyby dokaze vyuzit len 1/1000 ludi a to si este musi sam naprogramovat a nie ze tu date este aj linku na binarku, ktora spravy vsetko za neho, to zvladne aj uplna lama aj hocijake decko, ktore sa potom na tom zabava !!!

PS: www.counter-strike.sk je navod ako to zaplatat ...

lol, lenze take chyby dokaze vyuzit len 1/1000 ludi a to si este musi sam naprogramovat a nie ze tu date este aj linku na binarku, ktora spravy vsetko za neho, to zvladne aj uplna lama aj hocijake decko, ktore sa potom na tom zabava !!!

PS: <a href="http://www.counter-strike.sk"><B>www.counter-strike.sk<B></a> je navod ako to zaplatat ...

Takže až se někde objeví návod, jak odpálit přes internet jaderné hlavice, tak taky napíšete článek i s linkem na ten příkaz?????

Škoda že to není trestný takovýhle zprávy.

Jasně, až nějaký X najde tento návod, upozorní armádu USA, že tam mají díru, ta na to hodí bobek a necháto ležet čtyři měsíce a pak na oficiálním místě určeném k publikování podobných děr se objeví upozornění, tak o tom napíšeme stejně jako o tom napíšou desítky jinejch.

Tomu sa potom ale inac hovori nieco v zmysle ako trestny cin verejneho ohrozenia. Treba len mierne zliezt z opojenia volnosti internetu a rozumne pouvazovat o dosledkoch vlastneho konania. Odvolavat sa na to, ze to robi kazdy je smiesne.

Ano uvažoval jsem o důsledcích svého konání - admini se o tom dozví a rychle si záplatují své servery. Když jim to bude někdo shazovat, budou vědět proč. Ne fakt, štěkáte na nepravý strom.

Hlavne i kdyz nadavate tady na p. Holcika, tak on jenom "opsal" neco, co se publikovalo nekde jinde, takze i kdyz by se to neobjevilo zde na zive.cz, tak se to stejne dozvi kazdy, at uz z bugtraqu nebo od zde zminovaneho counter-strike.sk. Tady jde take rovnez o blbost Valve, ze o tom vi jiz tak dlouho, ale nic proti tomu dosud neudelala. Priklad s jadernymi hlavicemi se mi zda jako absolutni volovina...

s tym rozdielom, ze na c-s.sk som o tom nepisal pokial by nebol patch na win ako aj na linux, v tom je ten rozdiel, ako nahle boli vydane obidva patche (hodilen neoficialne) nevidel som dovod to nezverejnit a takisto som dal vediet vsetkym adminom hl serverov aby si to patchli ...

Jestli máš zájem, tak vlastnim The Terorrist HandBook aneb jak vyrobit výbušniny a různý jiný zajímavosti z bězně dostupných materiálů, včetně jejich seznamu a obchodů kde je sehnat.  

sam ses dement pod je tam link i na patch. Co bys chtel vic

vazne good clanok ! len tak dalej ! vazne skvela praca, chcel by som vas vidiet ako admina podobneho servera, ked musi kazdych 5 minut restartovat server kvoly podobnej novinke, vazne skvele, len tak dalej. je pekne ze ste dali aj patch, len ten patch nefunguje pod linuxom !!! nemam proste slov a to si hovorite profesional ...

Věřil byste, jakou práci mají administrátoři, když se objeví podobně vážná chyba třeba v IIS, samozřejmě o ní napíšeme také, i když sami na IIS běžíme. Opravdu neděláme rozdíly. Jsme zpravodajství a ne všechny zprávy, které publikujeme jsou optimistické.

Vaše rozhořčení odpovídá zhruba snaze zničit redaktora MF Dnes, za to, že přepsal veřejnou zprávu tiskové agentury ČTK.

a daly by ste tam odkaz i na hotovej exploitek, aby to mohl kazdej lamer shodit ?

Pokud by bylo součástí toho bezpečnostního varování na Bugtraqu tak ano. jedno kliknutí navíc ještě nikdy nic nevyřešilo.

Aha, proto se včera Counter Strike na parba.mistral.cz pořád shazoval ... nějakej n00bik zkoušel tu chybku.

Hosi, hos, exploit na tuhle chybu jsem mel uz asi 30 dni pred uverejnenim tehle bleskovky a byl k nalezeni i na inetu. Takze stacilo byt jen malinklo zly a nikdo by si nezahral :))

jak to funguje? ja sem to stahnul, spustil a zapnul se cmd a hned spadnul

Prikazova radka chlape..  spus si cmd.exe a pak o spus v konzoli..