Патчи уязвимостей

В последних сборках Sponge (SpongeForge 974+), SpongeForge и SpongeVanilla есть патчи некоторых уязвимостей типа клиент-сервер. Всякий раз, когда обнаруживается пользователь, использующий уязвимость, его кикает с сервера с сообщением, объясняющим причину. И если вы включили соответствующую опцию, то сообщение об этом также будет отправлено в консоль. В будущем будет больше патчей для уязвимостей.

Примечание

Если вы узнали об уязвимости, о которой мы ещё не знаем, пожалуйста, сообщите нам! По этой теме вы можете связаться с нами по электронной почте exploits@spongepowered.org, или отправьте личное сообщение сотруднику на форум. Пожалуйста, НЕ сообщайте об уязвимостях публично на IRC, GitHub или форумах, если о них ещё не знают. Это предотвратит их использование до появления исправлений.

Встроенные в Sponge патчи уязвимостей

  1. Уязвимость с командой и табличкой, когда клиент мог запустить команду от имени „оператора“

  2. Клиент мог заставить сервер сделать пользователя после возрождения невидимым

  3. Клиент может поставить отображаемое имя для itemstack и вызвать превышение лимита символов

Помните, что эти патчи невозможно отключить, настраивать можно только ведение логов.

Предупреждение

Патч уязвимости с невидимостью в новых сборках Sponge был отключён, так как метод срабатывал ложно, обвиняя пользователей в использовании этой уязвимости.

Управление сообщениями в логах

Сообщения логов для патчей уязвимостей могут контролироваться индивидуально в файле конфигурации Sponge. Подробнее про это можно узнать в статье global.conf. Небольшой обзор доступных опций:

# Log when server receives exploited packet with itemstack name exceeding string limit.
exploit-itemstack-name-overflow=false

# Log when player attempts to respawn invisible to surrounding players.
exploit-respawn-invisibility=false

# Log when server receives exploited packet to update a sign containing commands from player with no permission.
exploit-sign-command-updates=false

Совет

Вместо непосредственного редактирования файла конфигурации, сообщения логов можно контролировать через команды. Например, чтобы включить логгирование эксплоита команд табличек, напишите в консоли sponge config -g logging.exploit-sign-command-updates true (вы также можете писать команды в игре, если вы оператор).