本帖最后由 秋风残叶 于 2023-8-7 12:40 编辑
关于“LuckPerms存在提权bug”的辟谣公告
近日,国内MC服主圈开始流传这样一段传言,称“LuckPerms存在可以执行提权的bug”,并称“国外已经传开,国内已开始有迹象”,消息源头多来自一些QQ群,由于LuckPerms是MC服务器圈内著名的权限插件,使用人数颇多,这一传言造成了大量服务器运营者的恐慌。但是,经过笔者和一些热心人士的调查,此传言可能为不实消息。
下图为一些QQ群内传播的某未知来源的服务器后台截图,展示的是服务器某玩家提权后执行/tellraw指令的记录,其中提到了LuckPerms字样,因此一些人以此为依据认为提权后门来自LuckPerms,但其实这些文字只是玩家打出的指令,并不一定和LuckPerms有关。
下图为某热心用户在LuckPerms的Discord群组里向插件开发者求证此传言时得到的答复,开发者认为一些使用者(尤其是运营离线模式服务器的使用者)错误地设置了网络防火墙或者群组端,导致作弊客户端可以伪装成其他玩家登入服务器,这并非LuckPerms插件的问题。
下图为开发者对某用户在LuckPerms仓库提交的Issue的回复,该Issue反馈的同样为此传言,开发者关闭了这条Issue,并且作了和上一条同样的答复,认为问题不在LuckPerms.
通过以上求证过程,我们认为“LuckPerms存在可以执行提权的bug”传言不实,尽管如此,但我们不否认服务器中可能存在其它因素造成提权,也不否认其它漏洞已经对一些服务器造成了损害,因此,我们建议您:
1、不要在服务器中使用来历不明的插件或软件;
2、正确配置网络防火墙,关闭其它不需要的端口;
3、开启online-mode正版模式。
若您有确凿证据认为LuckPerms存在漏洞,请携带相关证据(例如服务端后台记录、相关截图等)至该插件的Github Issue进行反馈,或者通过Discord与开发者进行反馈,而非在国内MC圈内散播未经证实的消息造成恐慌。
关于“LuckPerms存在提权bug”的辟谣公告
近日,国内MC服主圈开始流传这样一段传言,称“LuckPerms存在可以执行提权的bug”,并称“国外已经传开,国内已开始有迹象”,消息源头多来自一些QQ群,由于LuckPerms是MC服务器圈内著名的权限插件,使用人数颇多,这一传言造成了大量服务器运营者的恐慌。但是,经过笔者和一些热心人士的调查,此传言可能为不实消息。
下图为一些QQ群内传播的某未知来源的服务器后台截图,展示的是服务器某玩家提权后执行/tellraw指令的记录,其中提到了LuckPerms字样,因此一些人以此为依据认为提权后门来自LuckPerms,但其实这些文字只是玩家打出的指令,并不一定和LuckPerms有关。
下图为某热心用户在LuckPerms的Discord群组里向插件开发者求证此传言时得到的答复,开发者认为一些使用者(尤其是运营离线模式服务器的使用者)错误地设置了网络防火墙或者群组端,导致作弊客户端可以伪装成其他玩家登入服务器,这并非LuckPerms插件的问题。
下图为开发者对某用户在LuckPerms仓库提交的Issue的回复,该Issue反馈的同样为此传言,开发者关闭了这条Issue,并且作了和上一条同样的答复,认为问题不在LuckPerms.
通过以上求证过程,我们认为“LuckPerms存在可以执行提权的bug”传言不实,尽管如此,但我们不否认服务器中可能存在其它因素造成提权,也不否认其它漏洞已经对一些服务器造成了损害,因此,我们建议您:
1、不要在服务器中使用来历不明的插件或软件;
2、正确配置网络防火墙,关闭其它不需要的端口;
3、开启online-mode正版模式。
若您有确凿证据认为LuckPerms存在漏洞,请携带相关证据(例如服务端后台记录、相关截图等)至该插件的Github Issue进行反馈,或者通过Discord与开发者进行反馈,而非在国内MC圈内散播未经证实的消息造成恐慌。