Essentials Sicherheitslücke?

[dermarionator]

Eben bin ich auf den Befehl /sudo gestoßen!







Moderator sudo
Make another user perform a command. /<command> <player> <command [args]>
Instructions: This command makes another player perform a command as if they typed it in the chat box themselves. Permissions:









essentials.sudo Allow access to the /sudo command. essentials.sudo.exempt Prevents the holder from being sudo'ed by another user.







Ein ganz normaler User konnte den Ausführen ohne Extra rechte!
per /sudo playername /msg Nachricht
konnte er sich ohne seinen Namen preis zu geben selbst im log nicht! eine Nachricht als anderer Spieler verschicken!

so das wir dachte die anderen würden einen beleidigen!

Wie es scheit muss man wohl extra eine permission einfügen damit das nicht mehr geht?

Was mein ihr dazu? :cursing:

 

[Gaming-District]

Hau erstmal ein CommandLogger rein.

 

[Gaming-District]

Gib jeder User-Gruppe die permission:
essentials.sudo.exemp

die Gruppe die diese permission hat kann von /sudo nicht getroffen werden.

 

[dermarionator]

Für bukkit für die 1.2 haste da nen link? Ich nicht ^^
Für den Commandlogger

 

[Gaming-District]

Ich werde daraus nicht ganz schlau?

WIllst du jetzt Bukkit 1.2?
oder Essentials für 1.2? ^^

Gib jeder User-Gruppe die permission:
essentials.sudo.exemp

die Gruppe die diese permission hat kann von /sudo nicht getroffen werden.

 

[Gelöschter Nutzer]

Ja und ich war das Opfer von diesen Attacken -.- Mal hoffen dieses Thema findet eine Antwort die gegen diese Sicherheitslücke hilft.

 

[Gaming-District]

Ich hab ja was Vorgeschlagen, sollte eig. klappen.
Finde diesen Befehl eh nicht sooo sinnvoll. ^^

 

[Gelöschter Nutzer]

Wenn man mit einem Hack-Programm diesen Befehl immitiert und damit einem den Chat vollspammt mit Androhungen wie: ICH HACKE DICH
dann ist das für diese Buguser garnicht so sinnlos. Man sieht auch nicht wer das macht.

 

[dermarionator]

Für das loggprgramm von allen commands der mehr als der log zeigt

 

[Gaming-District]

Wieso wenn man einstellt das Die oder Die User-Gruppe NICHT davon getroffen werden kann also "Ferngesteuert" ist das doch ausreichend.

und für den Logger:

http://dev.bukkit.org/server-mods/cmdstats/

 

[dermarionator]

Jo habs eingestellt.
Aber sowas muss man auch erst mal wissen!
Plugin gefällt mir ja auch danke..

 

[Dragon789]

Ok ich will ja nix sagen aber Sudo geht nur wenn ihr auch die Sudo permission gebt oO
essentials.sudo Allow access to the /sudo command. essentials.sudo.exempt Prevents the holder from being sudo'ed by another user.
steht da doch ausdrücklich drin also wer meint jedem die Sudo Permission zu geben ist selbst schuld^^

 

[Gaming-District]

Er hat doch geschrieben OHNE Rechte konnte es ein User ausführen.

 

[dermarionator]

Genau so ist es!
Etwas verbuggt ist die essentials anscheint.
sudo hab ich nicht freigeben ^^
So blöd bin ich nicht!

 

[Dragon789]

Gerade eben schnell mal auf meinem Home-server getestet ich habe "/Sudo Dragon789 kill" eingegeben und raus kam ich habe keine Permissions.
Eingetragen bin ich im standard Groupmanager in den Normalen Gruppen auf Member und hatte wie gesagt keinen zugriff von daher muss da was falsch gewesen sein(Oder veraltetes Permissions Programm/Bukkit/Essentials)

Ich habe für den Test Essentials 2.8.3 sowie den Group Manager dafür verwendet
Auserdem habe ich Bukkit Beta build 2034 benutzt.

Entweder ich habe ihrgendwas falsch gemacht oder du aufjedenfall wurde es bei mir geblockt

 

[dermarionator]

gott sei dank geht sowas nicht
teste mal /msg

/sudo Dragin789 /msg lalala

wenn deine user msg können ^^

 

[Dragon789]

Funktioniert ebenso nicht(=Msg Permissions vorhanden)
Wie gesagt es sollte nicht funktionieren(Buggendes permissions programm?)

 

[dermarionator]

gute frage ^^
Also der User hats auf jedenfall hinbekommen.
nutze ja den groupmanger ^^

vDev2.9.19 essentials
GroupManager v1.9
Also mal der log
BigBlueGER: /sudo scary sudo maik1600 ci
Sparkz: /sudo Basti07711 kick mido halts maul du huren

2012-03-14 16:55:25 [INFO] [PLAYER_COMMAND] BigBlueGER: /sudo inator fireball
2012-03-14 16:55:25 [INFO] [PLAYER_COMMAND] inator: /fireball
2012-03-14 16:55:25 [WARNING] inator was denied access to command.


usw also es kann sein da da auch mehrere drann sind ^^

 

[Dragon789]

Auf der Serverversion 1.2.3?
Ich habe (Leider) gemerkt das auf 1.2.3 die EssentialsGroups im moment so gut laufen wie eine Mülltonne vor 3.000.000 während sie im Teer versinkt...
Im moment(Beinahe) unbenutzbar,denn wenn man die Configs Editiert wird man von der Console angeschrieen wie sonste was^^
Das hab nicht nur ich auch mehrere^^

 

[Jobsti]

Tja, seit Bukkit gilt:
Essentials -> Quantität statt Qualität,
zu hMod-Zeiten war's noch ganz gut muss ich sagen,
aber da waren die Alternativen auch extrem rar bis garkeine vorhanden