Русский
English
Этот список охватывает выпуски с 20 марта по 11 апреля, которые являются частью серии обновлений безопасности.
Большие изменения:
- Добавлена проверка привилегий для выполнения команд. Команды, исходящие вне клиента, теперь могут выполнять только те команды, которые считаются безопасными. Такие команды, как 'connect', 'bind', 'quit' и некоторые cvars, такие как 'cl_filterstuffcmd', теперь могут выполняться только доверенными источниками.
- Установка для cl_filterstuffcmd значения больше нуля (например, cl_filterstuffcmd 1) установит количество команд, которые могут быть использованы с ошибками, таких как «say», «fps_max» и «setinfo», которые также могут выполняться только привилегированными источники.
Исправления:
- Исправлено, что клиент неправильно блокировал загрузку пользовательских спреев
Исправления безопасности:
- Все пользовательские ресурсы, загруженные с сервера, теперь проверяются на имя файла на безопасность перед тем, как им разрешено загружать
- Недопустимые расширения файлов теперь предотвращаются в нескольких командах
- Динамические библиотеки больше не ищутся в пользовательских каталогах ресурсов
- Добавлены дополнительные расширения файлов в список заблокированных расширений пользовательских ресурсов
- Исправлено переполнение буфера при разборе сообщения
- Исправлено RCE в обработке сообщений оружия
- Исправлено RCE при загрузке модели
- Исправлено переполнение буфера при загрузке TGA и BMP
- Исправлено переполнение буфера при демонстрационном воспроизведении
- Исправлено переполнение буфера при загрузке названия модели
- Исправлено переполнение буфера при загрузке текстур
- Исправлено переполнение буфера в списке карт консоли
- Исправлена цепочка команд в cvar, в которой указывались файлы конфигурации, передаваемые в команду 'exec'
