TheAndrey 15 994 Опубликовано: 2 ноября 2018 Менее суток назад была опубликована информация о наличии уязвимости с моде Carpenter's Blocks. В целом, это недоработка, статус уязвимости она получила из-за возможности обходить плагины привата. Будь это обычный ("ванильный") сервер, недоработка не имела бы такой существенной значимости. Что это? Снова "пакет хак". В моде присутствует специальный пакет, который позволяет активировать блоки на удалённом сервере. Автору пришлось пойти на такой хак из-за технических ограничений игры: с нажатым Shift, ПКМ на блоках не срабатывает. Что случилось? У серверного обработчика PacketActivateBlock отсутствует проверка входных данных, даже нет ограничения на возможность использования только на блоках из мода. Обработчик вызывает у выбранного блока onBlockActivated(), где обычно располагается код открытия интерфейса инвентаря блока. Прямой вызов этого метода позволяет миновать стандартный обработчик пакетов и ItemInWorldManager, откуда собственно информация о действия передаётся плагинам. Что это позволяет делать? Это позволяет открывать любые сундуки из модов, брать предметы с пьедесталов, в общем всё, что блок позволяет делать нажатием ПКМ. С "ванильными" блоками это не работает - они используют другие пакеты. Можно обходить любые плагины (в основном это приват и запреты), использующие PlayerInteractEvent. Демонстрация работы хака представлена на видео. Исправление уже установлено на все серверы. Добавлено ограничения использования пакета только блоками мода и вызов дополнительного PlayerInteractEvent для возможности контроля действия плагинами. За нахождение бага выражаем благодарность gamerforEA. 1 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
TALIB2007 2 Опубликовано: 2 ноября 2018 Браво! Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Гость NetFlix Опубликовано: 2 ноября 2018 "Менее суток назад была опубликована информация о наличии уязвимости с моде Carpenter's Blocks". Вообще то у gamerforEA фикс опубликован почти год назад =\ Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
TheAndrey 15 994 Опубликовано: 3 ноября 2018 Нет какого-либо канала, для своевременного получения уведомлений об изменениях. Поэтому недоработка мода оставалась незамеченной до недавнего времени, пока о ней не вспомнили снова (строчка ниже). Тем не менее, уязвимость остаётся актуальной - автор мода о ней до сих пор не знает. Самое главное, это то что исправили. Лучше поздно, чем никогда. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
MrZarp 6 Опубликовано: 4 ноября 2018 А в 2013 году можно было вообще блоки чужого привата по своему красить))) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
TheAndrey 15 994 Опубликовано: 4 ноября 2018 @MrZarp это обычная шалость была. Под конец года плагин RedGuard появился, решивший эту проблему. А нынче используются фиксы модов. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
