Discussion Критическая уязвимость сервера

Тема в разделе "Разработка", создана пользователем cvet, 24 янв 2015.

  1. cvet

    cvet

    Регистрация:
    16 сен 2011
    В сервере обнаружена критическая уязвимость позволяющая злоумышленнику влиять на свои параметры при регистрации персонажа.
    Ошибка заключается в том, что при разрешении пересылки параметров при регистрации (SetRegistrationParam) присланные клиентом параметры не проверяются на разрешенность на сервере.
    Данная уязвимость будет исправлена с ближайшим обновлением.
    Если кому-нибудь нужен будет патч для определенной ревизии СДК, то я смогу сделать билд с правкой, приаттачив в этой теме.
    Делаю билд только для Windows версии сервера.
    При обнаружении попытки взлома в лог будет выведена информация с указанием взлмываемых параметров, имени пользователя и IP.
    Ключевые слова для поиска в логе "Hacker".

    В аттаче билды с правкой для ревизий 370, 391, 394, 404, 412.

    Вложения:

    Последнее редактирование: 27 окт 2015
  2. Sidle Jinks

    Sidle Jinks

    Регистрация:
    6 фев 2011
    Нужен патч под 394 ревизию.
  3. cvet

    cvet

    Регистрация:
    16 сен 2011
    В аттаче первом посте.
  4. mojuk

    mojuk

    Регистрация:
    25 июл 2014
    Can you also upload patch for rev. 391?
  5. cvet

    cvet

    Регистрация:
    16 сен 2011
    Done.
  6. mojuk

    mojuk

    Регистрация:
    25 июл 2014
  7. Sidle Jinks

    Sidle Jinks

    Регистрация:
    6 фев 2011
    Спасибо!
  8. cirn0

    cirn0

    Регистрация:
    8 апр 2013
    Can you also give patch for rev 404 -> FOnline server, version 0518-F7!
  9. cvet

    cvet

    Регистрация:
    16 сен 2011
    Фикс уязвимости зашел в основной СДК с ревизии 472.

    Uploaded.
  10. Medvedev

    Medvedev

    Регистрация:
    17 сен 2014
    Для version 0502-EB пожалуйста.
  11. Felinssa

    Felinssa supporter

    Регистрация:
    28 ноя 2013
    Это уже довольно старая версия. Нет желания перейти на более новую?
  12. Solovey

    Solovey

    Регистрация:
    28 ноя 2011
    Лол, это ж Реква.
  13. Medvedev

    Medvedev

    Регистрация:
    17 сен 2014
    Верно. Перенос реквы на что-то новое - на уровне научной фантастики. Но недавно у нас завелись крысы, латаем дыры всеми способами.

    Аккелла бы сам отписал, но по каким то причинам не может тут постить.

    АПД: У нас совсем беда, реквестирую помощь как можно скорее.
    Последнее редактирование: 25 окт 2015
  14. cvet

    cvet

    Регистрация:
    16 сен 2011
    Было сказано говорить номер ревизии СДК, а не номер версии.
  15. Medvedev

    Medvedev

    Регистрация:
    17 сен 2014
    Должно сработать с 381 ревизией.
    Последнее редактирование: 27 окт 2015
  16. Felinssa

    Felinssa supporter

    Регистрация:
    28 ноя 2013
    В теории... Нужна точная ревизия вашего сервера, во избежании возможных косяков. Уточни у Акеллы или у кого-нибудь ещё, кто может точно сказать.
  17. Medvedev

    Medvedev

    Регистрация:
    17 сен 2014
    У нас там такая солянка, что никто точно сказать не может. Но 381 должна работать.
  18. cvet

    cvet

    Регистрация:
    16 сен 2011
    Ну так ищите обновляя СДК до каждой ревизии и сверяя нормер версии сервера.
    Делаю один раз.
  19. Medvedev

    Medvedev

    Регистрация:
    17 сен 2014
    Мне тут из зала подсказали, что у нас 371 всё-таки. Если еще не поздно, прошу 371. Окончательно.
    Последнее редактирование: 27 окт 2015
    DalikJe нравится это.
  20. cvet

    cvet

    Регистрация:
    16 сен 2011
    Залил 370, в 371 бинарники не менялись.
    Было готово еще вчера, это что бы не расслаблялись :)
    Ну и как вам правильно советуют надо использовать последнии ревизии.
    Felinssa и Medvedev нравится это.
  21. Medvedev

    Medvedev

    Регистрация:
    17 сен 2014
    Золотой человек! )) С ревизией думали конечно, но трудозатраты там гигантские.
  22. Felinssa

    Felinssa supporter

    Регистрация:
    28 ноя 2013
    Это действительно будет непросто - перевести реквач на новые ревизии. Проще наверное всё заного написать на чистом СДК, но оно будет того стоить. Впрочем это уже оффтоп, моё дело посоветовать.
  23. SEGA_RUS

    SEGA_RUS

    Регистрация:
    23 окт 2012
    Нужен патч для 405 ревизии.
  24. Skycast

    Skycast

    Регистрация:
    5 ноя 2011
    Открываешь svn, видишь что в 405 ревизии бинарник сервера не изменялся с 404.
    Скачивашь из первого поста патченную 404 ревизию.
    Profit!
  25. SEGA_RUS

    SEGA_RUS

    Регистрация:
    23 окт 2012
    Спасибо ;)
  26. Garry599

    Garry599

    Регистрация:
    4 фев 2013
    Всем привет. Есть вопрос. Какая самая стабильная ревизия до выпиливания контента. Надо перевести старый сервер он даже как оказалось на 220-й ещё висит. И соответственно спашивать патч просто смешно.
  27. SEGA_RUS

    SEGA_RUS

    Регистрация:
    23 окт 2012
    476 ЕМНИП
    Garry599 нравится это.
  28. Garry599

    Garry599

    Регистрация:
    4 фев 2013
    Скачал 476-ю. Очень доволен! Конечно перенести свой серв будет титаническим трудом, но оно того стоит. Спасибо за ответ!

Поделиться этой страницей