xAuth - každý má právo změnit komukoliv heslo
Napsal: 20 pro 2013, 01:31
Server: 93.91.250.135:27389
Zdravím, dneska jsem nejspíše objevil obrovský bug autorizačního pluginu xAuth. Připojil jsem se na server, a měl jsem změněné heslo. Další 2 admini také.
Pátral jsem v logu a přišel jsem k tomu, že nějaký hráč jednoduše napsal příkaz /xauth changepw <nick> lol. Všem nám změnil hesla na "lol". Samozřejmě se pak i připojil na naše účty a napáchal menší škody, ale to je vedlejší... Nejdřív se snažil změnit si heslo pomocí příkazu /changepw <StaréHeslo> <NovéHeslo>, ale asi mu to z nějakého důvodu nešlo, protože ten samý příkaz napsal několikrát.. Pak zkusil /xauth changepw, a zjistil, že to jde.
Nechápu, jak může mít obyčejný hráč práva na tenhle příkaz. Kamarádovi, který na serveru hraje, jsem řekl, aby mi taky zkusil změnit heslo, a šlo mu to. Přitom na to nemá žádný permission.
Takže se zdá, že je v xAuth obrovská bezpečnostní díra.
Používám PermissionsEx, zkoušel jsem přidat záporný permission -xauth.admin.changepw, ale nepomohlo to.
Pravděpodobně to dělá jen s verzí CraftBukkitu 1.7.2, mám ještě jeden modovaný server na verzi 1.5.2 a teď jsem si tam z druhého účtu zkusil změnit heslo, nejde to.
Asi budu muset rychle přejít na AuthMe, nebo nevím.
Zdravím, dneska jsem nejspíše objevil obrovský bug autorizačního pluginu xAuth. Připojil jsem se na server, a měl jsem změněné heslo. Další 2 admini také.
Pátral jsem v logu a přišel jsem k tomu, že nějaký hráč jednoduše napsal příkaz /xauth changepw <nick> lol. Všem nám změnil hesla na "lol". Samozřejmě se pak i připojil na naše účty a napáchal menší škody, ale to je vedlejší... Nejdřív se snažil změnit si heslo pomocí příkazu /changepw <StaréHeslo> <NovéHeslo>, ale asi mu to z nějakého důvodu nešlo, protože ten samý příkaz napsal několikrát.. Pak zkusil /xauth changepw, a zjistil, že to jde.
Nechápu, jak může mít obyčejný hráč práva na tenhle příkaz. Kamarádovi, který na serveru hraje, jsem řekl, aby mi taky zkusil změnit heslo, a šlo mu to. Přitom na to nemá žádný permission.
Takže se zdá, že je v xAuth obrovská bezpečnostní díra.
Používám PermissionsEx, zkoušel jsem přidat záporný permission -xauth.admin.changepw, ale nepomohlo to.
Pravděpodobně to dělá jen s verzí CraftBukkitu 1.7.2, mám ještě jeden modovaný server na verzi 1.5.2 a teď jsem si tam z druhého účtu zkusil změnit heslo, nejde to.
Asi budu muset rychle přejít na AuthMe, nebo nevím.
Snad ten xAuth aspoň updatnou... To, co se stalo mně, se může stát i dalším lidem, kteří ho používají na 1.7.2...