本帖最后由 caoli5288 于 2016-10-23 16:27 编辑
修复列表:
- Motd假请求崩溃漏洞
- AsyncEvent溢出漏洞
- 漏斗/比较器崩溃漏洞
- NBTTagList溢出漏洞
关于这贴:
会修复那些容易操作,而插件不好修复的,会导致瞬间崩服的漏洞。
持续跟进时间大概会到1.7版本在国内占有率下降到10%以下之前。
其他说明:
一部分是我率先发现,这部分代码我已经提交给spigot社区,
开1.8服务端的腐竹们请自行更新。
还有些是spigot社区打的补丁,由我移植到低版本。
同时希望大家能够反馈给我一些符合我修复标准的漏洞。
还有说明:
仅仅修复以上列出的问题,不保证熊孩子手中没有其他漏洞可利用。
2016/08/21 更新摘要
====
经过与Thermos服务端作者交流沟通,现在最新的Thermos端alpha-58已经内置了反motd/ping压测补丁。推荐1.7.10mod端更新到此版本。
2016/07/14 更新摘要
====
进入暑假之后接到的攻击报告又开始多起来了,大部分是老套的motd攻击。
经过测试,针对cauldron的修改端可以直接用在kcauldron和thermos端上。
使用方法!将minecraft_server.jar改名并替换服务端bin/net/minecraft/server/1.7.10/下对应jar文件,
不存在bin目录的,将minecraft_server.jar改名并替换服务端libraries/net/minecraft/server/1.7.10/下对应jar文件。
2015/09/19 更新摘要
====
昨天发1.7.2的可能是NBT限制的太死会跟一些插件冲突,修复了重新上传了。
如果开服过程中提示检测到攻击然后崩服请重新下载替换。
如果没有这个问题请无视。
如果今天的版本依然有问题请附带完整后台截图站内信或者QQ联系我。
2015/09/19 更新摘要
====
事实上从几个月前陆续给Paper提交了几个补丁,现在一些补丁已经集成到Paper里面了。
虽然Paper官方依然没有全部集成我的修复补丁,但我在这里提供我自己编译的Paper。
下载地址见下方。
2015/09/18 更新摘要
====
突然发现1.7.2的NBT攻击变得普遍了,鉴于1.7.2还没有完全消失。
修复1.7.2版本NBTTagList溢出漏洞。
下载地址见下方。
2015/07/13 更新摘要
====
修复了前天版本的一个问题。
2015/07/11 更新摘要
====
修复spigot-1.7.10在处理AsyncEvent的一处漏洞。
利用该问题可能导致服务端卡顿、崩服。
该问题波及所有版本craftbukkit/spigot以及衍生服务端。
修复代码我已提交给spigot社区。
2015/04/19 更新摘要
====
修复spigot-1.7.10服务端NBTTagList溢出漏洞。
由于无1.7.2服务端完整源代码,考虑到暂时没出现可用的针对1.7.2的nbt漏洞攻击器,
暂不修复1.7.2的NBTTagList溢出漏洞。
// 2015/09/18 现在已经修复了。
2015/3/1 更新内容
====
修复红石比较器/漏斗崩服漏洞。
====
2015/2/27 更新内容
====
Cauldron服务端请下载文件替换对应的minecraft_server文件,由@大橙子 友情移植。
启动参数需要增加
-Dfml.ignorePatchDiscrepancies=true
否则无法启动服务端。
下载地址
====
spigot-1.7.2
链接: https://pan.baidu.com/s/1bYau3k 密码: 3vzn
spigot-1.7.10
链接: https://pan.baidu.com/s/1gfdVHYV 密码: f4ri
cauldron-1.7.2
链接: https://pan.baidu.com/s/1pKIGIqZ 密码: de3n
cauldron-1.7.10
链接: https://pan.baidu.com/s/1c88djC 密码: 3p3w
====
一点声明:
mc这个游戏由于并不是为了成为网游而开发,类似的协议层bug应该不少。
希望掌握到了漏洞的朋友主动上报spigot社区,再不济也别公开发布。
别让mc这游戏因为莫名其妙的问题成为历史。
还想说点:
我不知道我个人招惹了谁,最近很多人诋毁攻击我,我表示很受伤也很愤怒。
如果有谁对我不满请直接联系我,背后说人坏话小心jj坏掉。
这是我的一点心里话 http://tieba.baidu.com/p/3552238394
修复列表:
- Motd假请求崩溃漏洞
- AsyncEvent溢出漏洞
- 漏斗/比较器崩溃漏洞
- NBTTagList溢出漏洞
关于这贴:
会修复那些容易操作,而插件不好修复的,会导致瞬间崩服的漏洞。
持续跟进时间大概会到1.7版本在国内占有率下降到10%以下之前。
其他说明:
一部分是我率先发现,这部分代码我已经提交给spigot社区,
开1.8服务端的腐竹们请自行更新。
还有些是spigot社区打的补丁,由我移植到低版本。
同时希望大家能够反馈给我一些符合我修复标准的漏洞。
还有说明:
仅仅修复以上列出的问题,不保证熊孩子手中没有其他漏洞可利用。
2016/08/21 更新摘要
====
经过与Thermos服务端作者交流沟通,现在最新的Thermos端alpha-58已经内置了反motd/ping压测补丁。推荐1.7.10mod端更新到此版本。
====
进入暑假之后接到的攻击报告又开始多起来了,大部分是老套的motd攻击。
经过测试,针对cauldron的修改端可以直接用在kcauldron和thermos端上。
使用方法!将minecraft_server.jar改名并替换服务端bin/net/minecraft/server/1.7.10/下对应jar文件,
不存在bin目录的,将minecraft_server.jar改名并替换服务端libraries/net/minecraft/server/1.7.10/下对应jar文件。
2015/09/19 更新摘要
====
昨天发1.7.2的可能是NBT限制的太死会跟一些插件冲突,修复了重新上传了。
如果开服过程中提示检测到攻击然后崩服请重新下载替换。
如果没有这个问题请无视。
如果今天的版本依然有问题请附带完整后台截图站内信或者QQ联系我。
2015/09/19 更新摘要
====
事实上从几个月前陆续给Paper提交了几个补丁,现在一些补丁已经集成到Paper里面了。
虽然Paper官方依然没有全部集成我的修复补丁,但我在这里提供我自己编译的Paper。
下载地址见下方。
2015/09/18 更新摘要
====
突然发现1.7.2的NBT攻击变得普遍了,鉴于1.7.2还没有完全消失。
修复1.7.2版本NBTTagList溢出漏洞。
下载地址见下方。
2015/07/13 更新摘要
====
修复了前天版本的一个问题。
2015/07/11 更新摘要
====
修复spigot-1.7.10在处理AsyncEvent的一处漏洞。
利用该问题可能导致服务端卡顿、崩服。
该问题波及所有版本craftbukkit/spigot以及衍生服务端。
修复代码我已提交给spigot社区。
2015/04/19 更新摘要
====
修复spigot-1.7.10服务端NBTTagList溢出漏洞。
由于无1.7.2服务端完整源代码,考虑到暂时没出现可用的针对1.7.2的nbt漏洞攻击器,
暂不修复1.7.2的NBTTagList溢出漏洞。
// 2015/09/18 现在已经修复了。
2015/3/1 更新内容
====
修复红石比较器/漏斗崩服漏洞。
====
2015/2/27 更新内容
====
Cauldron服务端请下载文件替换对应的minecraft_server文件,由@大橙子 友情移植。
启动参数需要增加
-Dfml.ignorePatchDiscrepancies=true
否则无法启动服务端。
下载地址
====
spigot-1.7.2
链接: https://pan.baidu.com/s/1bYau3k 密码: 3vzn
spigot-1.7.10
链接: https://pan.baidu.com/s/1gfdVHYV 密码: f4ri
cauldron-1.7.2
链接: https://pan.baidu.com/s/1pKIGIqZ 密码: de3n
cauldron-1.7.10
链接: https://pan.baidu.com/s/1c88djC 密码: 3p3w
====
一点声明:
mc这个游戏由于并不是为了成为网游而开发,类似的协议层bug应该不少。
希望掌握到了漏洞的朋友主动上报spigot社区,再不济也别公开发布。
别让mc这游戏因为莫名其妙的问题成为历史。
还想说点:
我不知道我个人招惹了谁,最近很多人诋毁攻击我,我表示很受伤也很愤怒。
如果有谁对我不满请直接联系我,背后说人坏话小心jj坏掉。
这是我的一点心里话 http://tieba.baidu.com/p/3552238394
支持一下 做了很大贡献
支持一下,做了很大贡献。
必须要支持。{:10_492:}
QAQ不顶不行,不要让熊吧的人看到
十分感谢
为什么我点击下载后悔出现索尼蓝牙手柄使用苹果手机及平板教程?
太棒了!以后开服就用这个
QAQ收下了
不支持不是人啊!!!!!!
支持么么哒~
支持梦梦!
原来构建服务器上的spigot是修复漏洞的服务端←_←
Feb26_1994 发表于 2015-2-7 19:12
原来构建服务器上的spigot是修复漏洞的服务端←_←
那个是追随上游源码的spigot1.8,众所周知spigot已经不公开发布jar包,要自己编译。
支持梦梦!!!
梦梦。永远支持你!
顶一个。下载403什么情况=A=
= = 你去看看熊吧的人都说你 说你在开发保护插件就永远D你 - - 我真无语了
能不能做个1649的版本?
支持萌萌 关于万人齐聚一个服务器不现实吧。。。如果让国外知道 中国盗版也上万人。。。他们会坐视不管吗?
...后台刷的...特..烦....
能去掉那些提示吗
日志都刷了一堆了
为什么不是屏蔽IP
虽然蹦服是不至于了
倒是产生了一堆日志
而且流量还是存在
这个是缓存的数据发送给客户端的吗
能去掉那些提示吗
日志都刷了一堆了
为什么不是屏蔽IP
虽然蹦服是不至于了
倒是产生了一堆日志
而且流量还是存在
这个是缓存的数据发送给客户端的吗
感谢梦梦做出的努力,永远支持梦梦{:10_523:}
——某小服腐竹
——某小服腐竹
Cauldron是mcpc+么
必须支持,不支持不行{:10_512:}
我想问问mcpc加怎么增加启动参数:
@echo OFF
java -Xmx2048M -Xms2048M -jar cauldron-1.7.2-1.1147.04.147-server.jar
-Dfml.ignorePatchDiscrepancies=true该放在哪里?
怎么放都启动不了
@echo OFF
java -Xmx2048M -Xms2048M -jar cauldron-1.7.2-1.1147.04.147-server.jar
-Dfml.ignorePatchDiscrepancies=true该放在哪里?
怎么放都启动不了
我想问下这个 客户端是 1291 的 还是1236的?
LZ的防motd不太好。和ddos一样,代理MOTD给服务器施加的压力极大,尤其是有服务器图片的那种
Love_凌夏 发表于 2015-2-8 16:19
支持梦梦!!!
右键签名档后文件被隔离了orz 那是什么东西