关键漏洞信息 1. 应用程序 名称: IGI 2: Covert Strike 链接: http://www.igi2-game.com 2. 版本 受影响版本: ≤ 1.3 3. 平台 操作系统: Windows, Linux 4. 漏洞详情 类型: 格式字符串漏洞 影响: 远程利用,针对服务器 描述: IGI 2服务器的日志记录函数(用于RCON命令)存在格式字符串漏洞。该漏洞影响到专用和普通服务器,且无法禁用该日志记录函数。 演示: 攻击者发送 ,服务器日志将显示格式化后的数据,如下所示: 5. 成因 函数: 问题: 使用 添加时间戳后,未包含必要的格式参数 ,直接将整个字符串传递给 。 6. 代码与补丁 测试代码: http://aluigi.org/poc/igi2fs.zip 修复补丁: - Windows: http://aluigi.org/patches/igi2fsfix.lpatch - Linux: http://aluigi.org/patches/igi2fsfix_linux.lpatch 7. 官方回应 状态: 开发者未回复邮件,暂无官方解决方案。