Yamaları İşlet

Son Sponge yapılarında (SpongeForge 974+), SpongeForge ve SpongeVanilla birkaç istemci sunucu açığını yamadılar. Uygulamalar, açığı kullanan bir kullanıcıyı tespit ettiklerinde, atılma sebebini içeren bir mesaj göstererek kullanıcıyı sunucudan atıyorlar. Etkinleştirilirse, konsola bir kayıt mesajı da gönderiliyor. Gelecekte daha fazla güvenlik açığı yaması eklenebilir.

Not

Eğer henüz kapatmadığımız bir güvenlik açığı biliyorsanız, lütfen bize bildirin! exploits@spongepowered.org üzerinden bize ulaşabilir ya da forum üzerinden ekip üyelerimizden birine özel mesaj gönderebilirsiniz. Lütfen güvenlik açıklarını, eğer henüz bilinmiyorlarsa, IRC, GitHub depomuz ya da forumlar üzerinde PAYLAŞMAYIN. Böylece açıkları kapatana kadar meydana gelebilecek kötüye kullanımları birlikte engelleyebiliriz.

Sponge’a Uygulanan ve Yamalanan Güvenlik Açıkları

  1. İstemci ‘op’ gibi bir komutu çalıştırabildiği yerde, komut kullanımını işaretleyin

  2. İstemci, sunucuyu ve kullanıcıyı yeniden görünmez yapmak için zorlayabilmektedir

  3. Istemci itemstack’ın görüntüleme ismini ayarlayabiilmektedir ve karakter sınır aşmasına neden olabilir

Bu yamaların devre dışı bırakılamayacağını unutmayın; yalnızca kayıtlar şu andan itibaren yapılandırılabilir.

Uyarı

Görünmezliği ortaya çıkaran ek, tanımlama metodu, istismarı gerçekleştiren kullanıcıları yanlışlıkla tespit ettiğinden son Sponge kurulumunda devre dışı bırakıldı.

Günlük mesaj kontrolü

Yamaları kullanmak için kayıt iletisi, Sponge yapılandırma dosyasında ayrı olarak kontrol edilebilir. Lütfen daha fazla bilgi için global.conf sayfasını okuyun. İşte mevcut seçenekleri kısa bir gözden geçirme:

# Log when server receives exploited packet with itemstack name exceeding string limit.
exploit-itemstack-name-overflow=false

# Log when player attempts to respawn invisible to surrounding players.
exploit-respawn-invisibility=false

# Log when server receives exploited packet to update a sign containing commands from player with no permission.
exploit-sign-command-updates=false

Tüyo

Günlük mesajları, yapılandırma dosyasını doğrudan düzenlemek yerine bir komut ile kontrol edilebilir. Örneğin, oturum açma komutundan yararlanan günlüğü etkinleştirmek için konsola “sponge config -g logging.exploit-sign-command-updates true” yazın (İsterseniz oyun içi komutları da yazabilirsiniz).