Patches für Sicherheitslücken

Warnung

These docs were written for SpongeAPI 7 and are likely out of date. If you feel like you can help update them, please submit a PR!

In neueren Sponge Builds (SpongeForge 974+) beheben SpongeForge und SpongeVanilla einige Clientseitige Sicherheitslücken. Wenn der Server das (versuchte) Ausnutzen einer Lücke durch einen User bemerkt, wird der User vom Server gekickt und erhält eine Nachricht, weshalb er gekickt wurde. Wenn aktiviert, wird außerdem eine Meldung in der Konsole ausgegeben. Weitere Patches können in Zukunft hinzugefügt werden.

Bemerkung

Wenn du eine Lücke kennst die wir derzeit nicht abdecken, sag uns bitte Bescheid! Du kannst uns via exploits@spongepowered.org schreiben oder eine PN an die Projektleitung schicken. Bitte poste die Lücke NICHT öffentlich im IRC, auf GitHub oder in den Foren, wenn sie nicht bereits bekannt ist. Das verhindert Missbrauch, bis wir die Lücke gestopft haben.

Derzeit in Sponge integrierte Patches

  1. Befehle auf Schildern, mit Hilfe derer der Client z.B. OP Status erlangen kann

  2. Der Client kann, für andere Spieler unsichtbar, respawnen

  3. Der Client konnte einen Itemstack so benennen, das er die maximale Zeichenlänge übersteigt

Beachte bitte, dass diese Patches nicht ausgeschaltet werden können, nur die Protokollierung ist änderbar.

Warnung

Der Unsichtbarkeitspatch wurde in den neuesten Sponge Builds abgeschaltet, da auch fälschlicherweise auslöste und der betreffende User anschließend gekickt wurde.

Log Nachrichten konfigurieren

Log Nachrichten für die Patches können einzeln in der Sponge Konfigurationsdatei eingestellt werden. Lies auf der entsprechenden Seite für weitere Informationen nach. Hier ein kurzer Überblick:

# Log when server receives exploited packet with itemstack name exceeding string limit.
exploit-itemstack-name-overflow=false

# Log when player attempts to respawn invisible to surrounding players.
exploit-respawn-invisibility=false

# Log when server receives exploited packet to update a sign containing commands from player with no permission.
exploit-sign-command-updates=false

Tipp

Log Nachrichten können auch durch Befehle konfiguriert werden, anstatt die Konfigurationsdatei zu editieren. Wenn du zum Beispiel den Missbrauch des Schilder Exploit loggen möchtest, tippst du sponge config -g logging.exploit-sign-command-updates true in die Konsole. Es ist natürlich auch möglich das Ganze im Spiel zu konfigurieren, wenn du op Rechte hast.