修复列表:
- Motd假请求崩溃漏洞
- AsyncEvent溢出漏洞
- 漏斗/比较器崩溃漏洞
- NBTTagList溢出漏洞
关于这贴:
会修复那些容易操作,而插件不好修复的,会导致瞬间崩服的漏洞。
持续跟进时间大概会到1.7版本在国内占有率下降到10%以下之前。
其他说明:
一部分是我率先发现,这部分代码我已经提交给spigot社区,
开1.8服务端的腐竹们请自行更新。
还有些是spigot社区打的补丁,由我移植到低版本。
同时希望大家能够反馈给我一些符合我修复标准的漏洞。
还有说明:
仅仅修复以上列出的问题,不保证熊孩子手中没有其他漏洞可利用。
2016/08/21 更新摘要
====
经过与Thermos服务端作者交流沟通,现在最新的Thermos端alpha-58已经内置了反motd/ping压测补丁。推荐1.7.10mod端更新到此版本。
====
进入暑假之后接到的攻击报告又开始多起来了,大部分是老套的motd攻击。
经过测试,针对cauldron的修改端可以直接用在kcauldron和thermos端上。
使用方法!将minecraft_server.jar改名并替换服务端bin/net/minecraft/server/1.7.10/下对应jar文件,
不存在bin目录的,将minecraft_server.jar改名并替换服务端libraries/net/minecraft/server/1.7.10/下对应jar文件。
2015/09/19 更新摘要
====
昨天发1.7.2的可能是NBT限制的太死会跟一些插件冲突,修复了重新上传了。
如果开服过程中提示检测到攻击然后崩服请重新下载替换。
如果没有这个问题请无视。
如果今天的版本依然有问题请附带完整后台截图站内信或者QQ联系我。
2015/09/19 更新摘要
====
事实上从几个月前陆续给Paper提交了几个补丁,现在一些补丁已经集成到Paper里面了。
虽然Paper官方依然没有全部集成我的修复补丁,但我在这里提供我自己编译的Paper。
下载地址见下方。
2015/09/18 更新摘要
====
突然发现1.7.2的NBT攻击变得普遍了,鉴于1.7.2还没有完全消失。
修复1.7.2版本NBTTagList溢出漏洞。
下载地址见下方。
2015/07/13 更新摘要
====
修复了前天版本的一个问题。
2015/07/11 更新摘要
====
修复spigot-1.7.10在处理AsyncEvent的一处漏洞。
利用该问题可能导致服务端卡顿、崩服。
该问题波及所有版本craftbukkit/spigot以及衍生服务端。
修复代码我已提交给spigot社区。
2015/04/19 更新摘要
====
修复spigot-1.7.10服务端NBTTagList溢出漏洞。
由于无1.7.2服务端完整源代码,考虑到暂时没出现可用的针对1.7.2的nbt漏洞攻击器,
暂不修复1.7.2的NBTTagList溢出漏洞。
// 2015/09/18 现在已经修复了。
2015/3/1 更新内容
====
修复红石比较器/漏斗崩服漏洞。
====
2015/2/27 更新内容
====
Cauldron服务端请下载文件替换对应的minecraft_server文件,由@大橙子 友情移植。
启动参数需要增加
-Dfml.ignorePatchDiscrepancies=true
否则无法启动服务端。
下载地址
====
spigot-1.7.2
链接: https://pan.baidu.com/s/1bYau3k 密码: 3vzn
spigot-1.7.10
链接: https://pan.baidu.com/s/1gfdVHYV 密码: f4ri
cauldron-1.7.2
链接: https://pan.baidu.com/s/1pKIGIqZ 密码: de3n
cauldron-1.7.10
链接: https://pan.baidu.com/s/1c88djC 密码: 3p3w
====
一点声明:
mc这个游戏由于并不是为了成为网游而开发,类似的协议层bug应该不少。
希望掌握到了漏洞的朋友主动上报spigot社区,再不济也别公开发布。
别让mc这游戏因为莫名其妙的问题成为历史。
还想说点:
我不知道我个人招惹了谁,最近很多人诋毁攻击我,我表示很受伤也很愤怒。
如果有谁对我不满请直接联系我,背后说人坏话小心jj坏掉。
这是我的一点心里话 http://tieba.baidu.com/p/3552238394
