Essentials Sicherheitslücke?

Dieses Thema im Forum "Technischer Support" wurde erstellt von dermarionator, 14. März 2012.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. dermarionator
    Offline

    dermarionator

    Registriert seit:
    7. September 2011
    Beiträge:
    25
    Eben bin ich auf den Befehl /sudo gestoßen!







    Moderator sudo
    Make another user perform a command. /<command> <player> <command [args]>
    Instructions: This command makes another player perform a command as if they typed it in the chat box themselves. Permissions:









    essentials.sudo Allow access to the /sudo command. essentials.sudo.exempt Prevents the holder from being sudo'ed by another user.







    Ein ganz normaler User konnte den Ausführen ohne Extra rechte!
    per /sudo playername /msg Nachricht
    konnte er sich ohne seinen Namen preis zu geben selbst im log nicht! eine Nachricht als anderer Spieler verschicken!

    so das wir dachte die anderen würden einen beleidigen!

    Wie es scheit muss man wohl extra eine permission einfügen damit das nicht mehr geht?

    Was mein ihr dazu? :cursing:
     
    #1
  2. Gaming-District
    Offline

    Gaming-District

    Registriert seit:
    4. März 2012
    Beiträge:
    315
    Hau erstmal ein CommandLogger rein.
     
    #2
  3. Gaming-District
    Offline

    Gaming-District

    Registriert seit:
    4. März 2012
    Beiträge:
    315
    Gib jeder User-Gruppe die permission:
    essentials.sudo.exemp

    die Gruppe die diese permission hat kann von /sudo nicht getroffen werden.
     
    #3
  4. dermarionator
    Offline

    dermarionator

    Registriert seit:
    7. September 2011
    Beiträge:
    25
    Für bukkit für die 1.2 haste da nen link? Ich nicht ^^
    Für den Commandlogger
     
    #4
  5. Gaming-District
    Offline

    Gaming-District

    Registriert seit:
    4. März 2012
    Beiträge:
    315
    Ich werde daraus nicht ganz schlau?

    WIllst du jetzt Bukkit 1.2?
    oder Essentials für 1.2? ^^
     
    #5
  6. Ja und ich war das Opfer von diesen Attacken -.- Mal hoffen dieses Thema findet eine Antwort die gegen diese Sicherheitslücke hilft.
     
    #6
  7. Gaming-District
    Offline

    Gaming-District

    Registriert seit:
    4. März 2012
    Beiträge:
    315
    Ich hab ja was Vorgeschlagen, sollte eig. klappen.
    Finde diesen Befehl eh nicht sooo sinnvoll. ^^
     
    #7
  8. Wenn man mit einem Hack-Programm diesen Befehl immitiert und damit einem den Chat vollspammt mit Androhungen wie: ICH HACKE DICH
    dann ist das für diese Buguser garnicht so sinnlos. Man sieht auch nicht wer das macht.
     
    #8
  9. dermarionator
    Offline

    dermarionator

    Registriert seit:
    7. September 2011
    Beiträge:
    25
    Für das loggprgramm von allen commands der mehr als der log zeigt
     
    #9
  10. Gaming-District
    Offline

    Gaming-District

    Registriert seit:
    4. März 2012
    Beiträge:
    315
    #10
  11. dermarionator
    Offline

    dermarionator

    Registriert seit:
    7. September 2011
    Beiträge:
    25
    Jo habs eingestellt.
    Aber sowas muss man auch erst mal wissen!
    Plugin gefällt mir ja auch danke..

    :D
     
    #11
  12. Dragon789
    Offline

    Dragon789

    Registriert seit:
    14. März 2012
    Beiträge:
    6
    Ok ich will ja nix sagen aber Sudo geht nur wenn ihr auch die Sudo permission gebt oO
    essentials.sudo Allow access to the /sudo command. essentials.sudo.exempt Prevents the holder from being sudo'ed by another user.
    steht da doch ausdrücklich drin also wer meint jedem die Sudo Permission zu geben ist selbst schuld^^
     
    #12
  13. Gaming-District
    Offline

    Gaming-District

    Registriert seit:
    4. März 2012
    Beiträge:
    315
    Er hat doch geschrieben OHNE Rechte konnte es ein User ausführen.
     
    #13
  14. dermarionator
    Offline

    dermarionator

    Registriert seit:
    7. September 2011
    Beiträge:
    25
    Genau so ist es!
    Etwas verbuggt ist die essentials anscheint.
    sudo hab ich nicht freigeben ^^
    So blöd bin ich nicht!
     
    #14
  15. Dragon789
    Offline

    Dragon789

    Registriert seit:
    14. März 2012
    Beiträge:
    6
    Gerade eben schnell mal auf meinem Home-server getestet ich habe "/Sudo Dragon789 kill" eingegeben und raus kam ich habe keine Permissions.
    Eingetragen bin ich im standard Groupmanager in den Normalen Gruppen auf Member und hatte wie gesagt keinen zugriff von daher muss da was falsch gewesen sein(Oder veraltetes Permissions Programm/Bukkit/Essentials)

    Ich habe für den Test Essentials 2.8.3 sowie den Group Manager dafür verwendet
    Auserdem habe ich Bukkit Beta build 2034 benutzt.

    Entweder ich habe ihrgendwas falsch gemacht oder du aufjedenfall wurde es bei mir geblockt
     
    #15
  16. dermarionator
    Offline

    dermarionator

    Registriert seit:
    7. September 2011
    Beiträge:
    25
    gott sei dank geht sowas nicht
    teste mal /msg

    /sudo Dragin789 /msg lalala

    wenn deine user msg können ^^
     
    #16
  17. Dragon789
    Offline

    Dragon789

    Registriert seit:
    14. März 2012
    Beiträge:
    6
    Funktioniert ebenso nicht(=Msg Permissions vorhanden)
    Wie gesagt es sollte nicht funktionieren(Buggendes permissions programm?)
     
    #17
  18. dermarionator
    Offline

    dermarionator

    Registriert seit:
    7. September 2011
    Beiträge:
    25
    gute frage ^^
    Also der User hats auf jedenfall hinbekommen.
    nutze ja den groupmanger ^^

    vDev2.9.19 essentials
    GroupManager v1.9
    Also mal der log
    BigBlueGER: /sudo scary sudo maik1600 ci
    Sparkz: /sudo Basti07711 kick mido halts maul du huren

    2012-03-14 16:55:25 [INFO] [PLAYER_COMMAND] BigBlueGER: /sudo inator fireball
    2012-03-14 16:55:25 [INFO] [PLAYER_COMMAND] inator: /fireball
    2012-03-14 16:55:25 [WARNING] inator was denied access to command.


    usw also es kann sein da da auch mehrere drann sind ^^
     
    #18
  19. Dragon789
    Offline

    Dragon789

    Registriert seit:
    14. März 2012
    Beiträge:
    6
    Auf der Serverversion 1.2.3?
    Ich habe (Leider) gemerkt das auf 1.2.3 die EssentialsGroups im moment so gut laufen wie eine Mülltonne vor 3.000.000 während sie im Teer versinkt...
    Im moment(Beinahe) unbenutzbar,denn wenn man die Configs Editiert wird man von der Console angeschrieen wie sonste was^^
    Das hab nicht nur ich auch mehrere^^
     
    #19
  20. Jobsti
    Offline

    Jobsti

    Registriert seit:
    18. August 2011
    Beiträge:
    1.226
    Ort:
    Steinau (Hessen)
    Minecraft:
    Jobsti
    Tja, seit Bukkit gilt:
    Essentials -> Quantität statt Qualität,
    zu hMod-Zeiten war's noch ganz gut muss ich sagen,
    aber da waren die Alternativen auch extrem rar bis garkeine vorhanden ;)
     
    #20
Status des Themas:
Es sind keine weiteren Antworten möglich.