Neuer Authentication exploit aufgetaucht

Dieses Thema im Forum "Ankündigung" wurde erstellt von Cabraca, 3. September 2013.

  1. Cabraca
    Offline

    Cabraca

    Durch einen Patch in Spigot ist wohl ein größerer Exploit im Authentication Prozess von Minecraft entdeckt worden.
    Alle Nutzer von Spigot Build #1082 bis #1089 sollen bitte umgehend auf #1090 oder höher wechseln. Dort wurde der Bug gefixt.

    Wenn auch mit einer geringeren Chance sind von diesem Bug auch Vanilla und Craftbukkit betroffen.
    Auf Reddit wird bei Vanilla und Craftbukkit von einer Erfolgsrate von unter 1% gesprochen.
    Durch Automatisierung des Exploits ist dies aber immernoch genug um den Fehler auszunutzen.

    Der Bug wird in Vanilla mit dem nächsten Update gefixt, Craftbukkit arbeitet bereits an einem Patch und
    Spigot ist ab Build #1090 nicht mehr von diesem Bug betroffen.

    Bis ein Bugfix für Craftbukkit und Vanilla erschienen ist sollten Admins ihr Serverlog im Auge behalten.

    Quellen:
    http://www.reddit.com/r/admincraft/comments/1lkr30/auth_bug_in_two_recent_spigot_builds_upgrade_now/
    http://www.reddit.com/r/admincraft/..._two_recent_spigot_builds_upgrade_now/cc0gbib
    http://www.reddit.com/r/admincraft/comments/1llt2h/craftbukkit_fix_for_authentication_exploit/

    Link zu Spigot:
    http://ci.md-5.net/job/Spigot/lastSuccessfulBuild/ (momentan #1091, also der gefixte)
     
    #1
  2. schneidertm
    Offline

    schneidertm

    Registriert seit:
    10. Juli 2011
    Beiträge:
    96
    Ort:
    Baden-Württemberg, Deutschland
    Minecraft:
    Schneidertm
    Na der Spigot Server leidet gerade aber richtig! Downloadspeed von 20 kb
     
    #2
  3. Chrisliebaer
    Offline

    Chrisliebaer

    Und hier eine deutsche Zusammenfassung:

    • Der Fehler existiert in ALLEN Servern (außer dem gefixten Spigot)
    • Spigot hat diesen Fehler nur durch Zufall aufgedeckt
    • Es handelt sich um eine Race-Condition, da Mojang die Threads nicht sauber synchronisiert (welch Wunder...)
    • Ggf. gibt es sogar ähnliche Fehler, nach denen einige Leute nun suchen (Threading scheint nicht Mojangs Stärke zu sein)

    Der Tipp mit dem Überwachen der Konsole ist für die Tonne. Ihr bekommt eh nicht alles mit. Entweder man läd sich den neusten Spigot Build, der den Bug fixt oder man installiert AuthMe oder ein ähnliches System, dass einen 2. Login notwendig macht. Die Tatsache, dass man damit in jeden Account kommt, hebelt so ziemlich alle Sicherheitssysteme eures Servers komplett aus.

    Und wie es auch in den verlinkten Reddit Threads steht: Checkt eure Configs, ob sich da irgendwer vererewigt hat. Das ganze ist mal wieder ein schönes Beispiel, dass man bei Mojang nicht weiß, was man tut. Threadsicherheit kann komplex werden, aber wenn man dafür niemanden hat, der das auf die Reihe bekommt, dann sollte man sich einen Experten dazu nehmen. So wie ich das anhand des Codes einschätze, war das Problem absehbar. Wäre interessant zu wissen, welche Fehler es noch an anderen Stellen gibt.
     
    #3
  4. Cabraca
    Offline

    Cabraca

    Naja sobald man sieht, dass ein User auffällige Commands eingibt weiß man, dass was nicht stimmt.
    So für die Tonne isses also nicht ganz.
     
    #4
  5. Crafter6432
    Offline

    Crafter6432

    Registriert seit:
    22. Dezember 2011
    Beiträge:
    686
    Wer etwas mitdenkt, nutzt den Bug entweder zur Hauptzeit, in der die Console aufgrund von vielen Usern unübersichtlich ist oder nachts wenn grad keiner die Konsole beobachtet...
     
    #5
  6. Chrisliebaer
    Offline

    Chrisliebaer

    Oder alternativ spamt man einfach den Chat und das Log mit unsinnigen Befehlen und Textnachrichten zu. Es gibt genug Möglichkeiten und da man vollen Zugriff auf die Konfiguration hat, kann man auch deutlich später wieder kommen.
     
    #6