Дырочка в модах с использованием ObjectInputStream

Дырочка в модах с использованием ObjectInputStream

454
42
119
Всё равно это дыра
Инструмент по декодированию потока байт и порождение произвольных обьектов из него - не дыра, а полезный инструмент. (Я например использую подобное в конфигурации)
Дырой будет конкретно вызов этого куска кода в неподходящем месте (например при чтении клиентского пакета) (То есть виноваты разрабы модов, и их некомпетентность)
 
454
42
119
Метод чтения пакета априори не должен вызываться, если этот пакет не предназначен для сервера
Разумно, но что есть - то есть. Выше уже подметили - метод чтения предназначен для чтения, но никак не обработки пакета
 
1,099
74
387
Уязвимости с крайне нелюбимым ObjectInputStream меня порядком достали 🤬. За всем не уследишь.
Сделал на коленке такую поделку. Автоматически «кастрирует» все моды использующие OIS. Работа связанная с ним будет нарушена, но безопасность стоит того.

 
292
14
160
Скрывать целенаправленно критические уязвимости - это поступать по-пидорски, думая только о своём кармане. Ничего против продажи самих фиксов не имеют, но информация об уязвимостях должна быть в свободном доступе
Тут есть и обратная сторона: полное раскрытие уязвимости влечёт за собой волны таких "взломщиков", которые до этого о подобной дырке даже не подозревали. И атаковать пойдут они и более-менее крупные проекты, которые ещё просто не успели написать\поставить фикс, и мелкие, которые вообще за этой темой не следят.

Если бы я хотел сделать так, чтобы уязвимость была исправлена на большом количестве серверов, я бы вкинул в паблик (и\или кому-то из технических администраторов крупных проектов) фикс чтения пакетов на неподходящей стороне, в котором не было даже упоминания OIS. И, возможно, через некоторое время обнародовал бы саму уязвимость.
 
Последнее редактирование:
292
14
160
Согласен с @daniorio. Ни разработчики дырявых модов, ни сотрудники других проектов вам ничем не обязаны. Более того, наличие уязвимостей на конкурирующих серверах возможно будет на руку для тех серверов, на которых уже всё пофикшено. Вероятно игроки пойдут играть и донатить туда, где они могут просто наслаждаться игрой, а не страдать из-за дыр, потерянного лута и долгих техработ.
 
1,099
74
387
Тут есть и обратная сторона: полное раскрытие уязвимости влечёт за собой волны таких "взломщиков", которые до этого о подобной дырке даже не подозревали. И атаковать пойдут они и более-менее крупные проекты, которые ещё просто не успели написать\поставить фикс, и мелкие, которые вообще за этой темой не следят.
Я всё же склоняюсь к тому что под "шумок" процесс исправления уязвимости продвигается намного быстрее. Чтобы устранить уязвимость грубыми средствами (отключить серверы, уязвимый функционал модов), достаточно нескольких минут. Дальше можно в нормальном темпе заниматься написанием/поиском фикса.

Так что утаивание проблем криворуких авторов только на руку тем кто пишет эксплоиты. Это даёт достаточно времени чтобы всё хорошо подогнать и найти подход к каждому проекту для последующего слива. Никаких вариантов «ускорится» у этой стороны нет. И Люксы вполне в этом могут быть заинтересованы этим в целях пополнения своей витрины слитого контента.
 
29
20
Никто не собирается пополнять вкладки со сливами, они были созданы еще в начале развития продаж чтобы был какой-то ассортимент, пока свои наработки не готовы. На данный момент все те разделы можно смело сносить, они более не интересны и тем более не рентабельны. Аналогично дела обстоят с эксплоитами и нанесением вреда другим проектам. На данный момент мы таким не занимаемся, ибо если бы и занимались, то с нашей базой уязвимостей жизнь испортить можно было бы почти каждому первому проекту. Да и вообще, а что у других проектов то красть? Я сколько не смотрел, ничего действительно полезного там тупо нет. Украсть моды на кастомные механизмы и механики? Дак они настолько кривые, что юзать это у себя тупо не имеет смысла, а продавать так тем более, проще написать свои и нормально.
 
29
20
Уязвимости с крайне нелюбимым ObjectInputStream меня порядком достали 🤬. За всем не уследишь.
Сделал на коленке такую поделку. Автоматически «кастрирует» все моды использующие OIS. Работа связанная с ним будет нарушена, но безопасность стоит того.

А что помешало сделать поиск OIS в jar модах для проверки, вместо этого хлама, который ломает сервер? (хотя такой был сделан в паблик уже давно, в 21-22 году, вспоминаем всеми любимого Захара из гравита). Достаточно один раз запустить его и проверить где идут вызовы, а после пофиксить уязвимые места, нежели тупо запрещать. Это напоминает мне как ведут себя проекты, которые не могут сделать фикс. Тупо запрещают предметы и якобы проблема решена.
 
29
20
Что-то из разряда "Мы сняли вашей машине колеса, чтобы вы не разбились по пути. Это средство безопасности."
 
1,099
74
387
А что мешает прочитать README.md? :rolleyes:
Люксы не умеют в такое. Им не дано понять что это грубый хотфикс для тех кто не умеет декомилировать моды. Не у каждого проекта есть кодеры в составе на постоянной основе.

@daniorio спасибо что оценили мою поделку ;)
 
Последнее редактирование:
29
20
Ну вообще да, умение кодить боком выходит, уже совсем забыл, что давно, когда сам хотел сделать что-то простое, а тупо не мог, кодеров не было. Как костыль для проектов без кодеров или денег сойдет в принципе. А по поводу оценки - даже не смотрел код, просто ответил на сообщение. :)
 
29
20
Никто их работы не продает, у них открытые репы и кое-что из их коммитов мы портируем себе. Цена в 50 рублей за порт 1 коммита, а не за фикс проблемы. Не у всех есть желание и навыки портировать их коммиты на купленные фиксы. Причем если посмотреть, мы не воруем контент, который они пишут, не воруем опции конфига и прочее, что не относится к дюпам, багам, грифам и недоработкам модов. Мы лишь выбираем те коммиты, которые влияют на производительность и безопасность мода, и то, если посмотреть, очень многое из того что есть у них сделал гейм или мы сами еще задолго до того, как они опубликовали это у себя.
 
  • Love
Реакции: Jer1
379
27
105
а их работы продают
Найти эти правки и смержить - дело нудное, далеко не каждый станет этим заниматься. У GTNH 100500 мусорных коммитов, разобраться в этом ещё нужно. Хотят - продают, значит так оценивают свой труд, не вижу за что тут осуждать.
 
1,099
74
387
Согласен, жаль GTNewHorizons, ведь делают для себя и своего комьюнити, а их работы продают :cry:
К сожалению, такова реальность. Даже лицензии это запретить не могут.
 
29
20
Я бы даже сказал так, что цена в 50 рублей за 1 их нормальную правку еще мало. Мы все их моды смотрели вдоль и поперек, проверяли их фиксы на совместимость с нашими, на наличие проблем от кода, который они изменили и прочее. За 50 рублей ни 1 разраб даже среду тебе не откроет, а ты еще попробуй найди нужные коммиты, изучи что и как, портани на фикс и протестируй, чтобы ничего не сломалось.
 
219
12
119
Кстати фикс не рабочий, имерсив мягко говоря послал куда по дальше
 
Сверху