Problem z luką w silnikach Spigot.

[Xayanix aka Ban]

https://www.youtube.com/watch?v=qjdT3cn-ecY

 

 

Luka w silnikach Spigot, exploitowane serwery wybrane losowo.

Wie ktoś może, jak to naprawić? Może ma ktoś naprawiony silnik 1.7.10/1.8?

 

 

 

 

 

 

 

 

 

sry za jakość

[Gość]

Na czym polega ta luka ;d?

[Gość]

Hmm... Ciekaw. Bo gdy wbije na mój testowy serwer na spigot 1.7.5 i gdy wpiszę <Klik>/Klikam nic się nie dzieje ­

[nieznany1234567]

Na czym polega ta luka ;d?

 

Wystarczy wysłać odpowiednio dużą ilość danych w odpowiednich pakietach, a serwer próbując przekonwertować je na czytelną dla siebie formę zcrashuje bo zabraknie RAMu ;f

 

 

Hmm... Ciekaw. Bo gdy wbije na mój testowy serwer na spigot 1.7.5 i gdy wpiszę <Klik>/Klikam nic się nie dzieje ­

 

Serio....? ;_; Gość ma w tle exploita odpalonego, a to <Klik> to wiadomość dla oglądającego, że będzie uderzał w blok (wysyłając tym samym masakryczną ilość danych która zabije serwer )

[Mavai]

Luka ta jest zarówno na silniku spigot i bukkit? Dodatkowo czy ta luka występuje tylko na wersjach 1.7.x czy też na 1.8?

[Xayanix aka Ban]

Na czym polega ta luka ;d?

 

@nieznany1234567

Wyjaśnił dobrze.

 

 

Hmm... Ciekaw. Bo gdy wbije na mój testowy serwer na spigot 1.7.5 i gdy wpiszę <Klik>/Klikam nic się nie dzieje ­

 :_: srsly

 

 

Luka ta jest zarówno na silniku spigot i bukkit? Dodatkowo czy ta luka występuje tylko na wersjach 1.7.x czy też na 1.8?

 

Spigot naprawił to 1.8.4 dopiero, ale to za dalekoo

[nieznany1234567]

Luka ta jest zarówno na silniku spigot i bukkit? Dodatkowo czy ta luka występuje tylko na wersjach 1.7.x czy też na 1.8?

 

To właściwie jest luka kodu minecraft_server więc zarówno bukkit, spigot i vanillowy serwer są podatne Naprawiono dopiero w 1.8.4, a w najnowszym spigocie wszystkie 1.8.X powinny być bezpieczne. (1.7, 1.6 jest podatne, nie wiem czy 1.5 też)

[Xayanix aka Ban]

To właściwie jest luka kodu minecraft_server więc zarówno bukkit, spigot i vanillowy serwer są podatne Naprawiono dopiero w 1.8.4, a w najnowszym spigocie wszystkie 1.8.X powinny być bezpieczne. (1.7, 1.6 jest podatne, nie wiem czy 1.5 też)

 

1.7, 1.6, 1.5 a nawet 1.4 jest podatne...

[Gość]

Jedynie aktualnie załatany silnik to 

https://github.com/OvercastNetwork/SportBukkit

Ale on jest dosyć mocno edytowany pod MG

[GotoFinal]

http://www.mpcforum.pl/topic/1406415-problem-crash-serwera-broken-pipe/?p=11936099

 

To jak to w końcu z toba jest mały trollu?

 

 

A tak to nic trudnego, ma się 3 sposoby.

- Zdobyć kod spigota z wersji 1.7 i dodać patcha zmieniającego sposób dekodoawnaia pakietów 0x10 i 0x08, w jednym z nich mozna kompletnie olać całe NBT, nie trzeba nawet go odczytywać, tylko skipnąć wszystki bity itemu.

- Napisać plugin który zmieni sposób dekodoawnia pakietów w runtime, czyli edycja kodu w runtime (poprawki takie same jak wyżej)

- Przerejestrować pakiet refleksjami, tak by zamiast używac klasy z NMS, używał twojej własnej klasy. (poprawki takie same jak wyżej)

 

Nic specjalnie trudnego, co najwyżej trzeba się trochę pobrudzić i powkurzać :P

[damianq20]

:/ może sponge nie ma tego błędu możesz próbować

https://repo.spongepowered.org/maven/org/spongepowered/sponge/

[Gość]

Uwaga ! 

Fixnelem ;3

 

Da sie fixnac bez source silniku oraz bez zbednych pluginow wystarczy pokombinowac  

[thirdanoin]

Napotkalem sie na osobe co zaatakowala mnie parenascie razy pod rzad prosze o linka do załatanego silnika spigot . Nie tylko mi pomozecie ale takze wielu osobą co mają ten sam problem .

[rzy4y]

Coś masz z komputerem a nie z luką w spigocie ­

[kamilo3466]

Na czym polega ta luka moglbys to lepiej wytlumaczyc to problem moze by sie rozwiazal