Bonjour à tous,
Je viens ici pour vous présenter notre patch pour la Faille NBT.
Mais pour ceux qui ne savent pas ce que c'est, voici un petit résumé :
Vous n'êtes pas sans savoir dernièrement une faille de sécurité assez conséquente présente dans le serveur Minecraft a été dévoilée au public par un certain ammar2.
En quoi consiste cette faille ?
Je ne souhaite nullement mattarder à expliquer techniquement la faille, un article de Fr-Minecraft l'explique mieux que moi. Néanmoins voici un bref résumé. Cet exploit consiste à envoyer une liste assez grosse de données NBT (données utilisées lors de la gestion de l'inventaire par exemple) au serveur jusqu'à saturer son CPU et sa RAM. Cette démarche se base sur la possibilité au client d'envoyer des informations au serveurs.
Pourquoi avoir présenté cette faille au public ?
Tout simplement pour faire pression au près de Mojang qui après deux ans n'avait toujours pas résolu ce problème et sensibiliser le public face à ce problème. J'utilise le passé (n'avait), vous le comprendrez plus tard dans le sujet.
Qui est vulnérable ?
Voici une liste des versions vulnérables :
Note : Il se peut que certains serveurs ont corrigé la faille en modifiant le code de Spigot / CraftBukkit.
Comment les administrateurs de serveurs peuvent fixer la faille ?
Tout d'abord Spigot s'est empressé de proposer une version fix de Spigot 1.8.3 & Spigot 1.8. Pour obtenir cette version voire informations sur la page d'accueil de spigotmc. Quant au serveur Minecraft, Mojang a sorti une version fix s'intitulant Minecraft Server 1.8.4.
Si vous êtes sous une version vulnérable présentée au dessus, un patch est disponible sur la boutique afin que vous soyez immunisés !
Pour installer notre patch :
1) Allez dans votre racine FTP et remplacer votre spigot.jar par le notre.
2) Créer un dossier nommé "guava" et placez y votre guava17.jar
3) Redémarrez votre serveur
4) ENJOY !
Source : http://blog.ammarask...ility-advisory/ & http://fr-minecraft....-minecraft.html
By unixfox
Je viens ici pour vous présenter notre patch pour la Faille NBT.
Mais pour ceux qui ne savent pas ce que c'est, voici un petit résumé :
Vous n'êtes pas sans savoir dernièrement une faille de sécurité assez conséquente présente dans le serveur Minecraft a été dévoilée au public par un certain ammar2.
En quoi consiste cette faille ?
Je ne souhaite nullement mattarder à expliquer techniquement la faille, un article de Fr-Minecraft l'explique mieux que moi. Néanmoins voici un bref résumé. Cet exploit consiste à envoyer une liste assez grosse de données NBT (données utilisées lors de la gestion de l'inventaire par exemple) au serveur jusqu'à saturer son CPU et sa RAM. Cette démarche se base sur la possibilité au client d'envoyer des informations au serveurs.
Pourquoi avoir présenté cette faille au public ?
Tout simplement pour faire pression au près de Mojang qui après deux ans n'avait toujours pas résolu ce problème et sensibiliser le public face à ce problème. J'utilise le passé (n'avait), vous le comprendrez plus tard dans le sujet.
Qui est vulnérable ?
Voici une liste des versions vulnérables :
- Toutes les versions égales ou basées sur spigot-1.7.10-SNAPSHOT-b1657 (1.7.10) sauf les versions Sportbukkit supérieures àsportbukkit-1.7.10-R0.1-20150417.043322-43.
- Toutes les versions inférieures ou égales à Minecraft Server 1.8.3.
Note : Il se peut que certains serveurs ont corrigé la faille en modifiant le code de Spigot / CraftBukkit.
Comment les administrateurs de serveurs peuvent fixer la faille ?
Tout d'abord Spigot s'est empressé de proposer une version fix de Spigot 1.8.3 & Spigot 1.8. Pour obtenir cette version voire informations sur la page d'accueil de spigotmc. Quant au serveur Minecraft, Mojang a sorti une version fix s'intitulant Minecraft Server 1.8.4.
Si vous êtes sous une version vulnérable présentée au dessus, un patch est disponible sur la boutique afin que vous soyez immunisés !
Pour installer notre patch :
1) Allez dans votre racine FTP et remplacer votre spigot.jar par le notre.
2) Créer un dossier nommé "guava" et placez y votre guava17.jar
3) Redémarrez votre serveur
4) ENJOY !
Source : http://blog.ammarask...ility-advisory/ & http://fr-minecraft....-minecraft.html
By unixfox