Correção de exploração de bugs

Aviso

These docs were written for SpongeAPI 7 and are likely out of date. If you feel like you can help update them, please submit a PR!

As builds mais recentes do SpongeForge (974+) e do SpongeVanilla contêm defesas contra alguns bugs que o cliente pode explorar. Sempre que as implementações detectam um usuário a executar um exploit, kicka-os do servidor com uma mensagem a explicar o motivo pelo qual foram expulsos. Se ativado, uma mensagem de registo também é mostrada na consola. No futuro, poderão ser adicionadas mais correções contra a exploração de bugs.

Nota

Se tens conhecimento de algum exploit que atualmente não prevenimos, por favor informa-nos! Podes contactar-nos através do email exploits@spongepowered.org ou por mensagem pessoal no fórum a um membro da Staff. Por favor, NÃO publiques exploits diretamente no IRC, nos nossos repositórios do GitHub, nem no fórum, se ainda não forem conhecidos. Isto previne abusos enquanto o problema não é resolvido.

Correções implementadas no Sponge

  1. A exploração de um “Sign command” em que o cliente podia correr um comando como por exemplo ‘op’

  2. O cliente podia forçar o servidor a respawnar o utilizador invisível

  3. O cliente podia definir um nome para um stack de itens e fazê-lo exceder o limite de caracteres

Nota que estas correções não podem ser desativadas, apenas o registo no log é configurável neste momento.

Aviso

A patch do exploit da invisibilidade foi desativado nas builds do Sponge mais recentes devido ao facto de o mecanismo de deteção acusar falsamente alguns utilizadores de explorarem o exploit.

Controlo de mensagens de log

As mensagens de registo podem ser controladas individualmente no ficheiro de configuração do Sponge. Por favor, leia a página global.conf para mais informações. Aqui está um pequeno resumo das opções disponíveis:

# Log when server receives exploited packet with itemstack name exceeding string limit.
exploit-itemstack-name-overflow=false

# Log when player attempts to respawn invisible to surrounding players.
exploit-respawn-invisibility=false

# Log when server receives exploited packet to update a sign containing commands from player with no permission.
exploit-sign-command-updates=false

Dica

As mensagens também podem ser controladas através de um comando, em vez de serem editadas diretamente no ficheiro de configuração. Por exemplo, para ativar o registo do exploit do comando na placa, escreve sponge config -g logging.exploit-sign-command-updates true na consola (também podes correr este comando no jogo se fores op).