Уязвимость двойного хэндшейка, или почему ваш сервер взламывают

Описанная ниже уязвимость уже 2-3 месяца лежит на забугорных сайтах, но что ребята с mmoru, что ребята с rubukkit оказались отсталыми от жизни, и уязвимость использовать/патчить начали не так давно.
Уязвимость заключается в возможности зайти под ником любого игрока, при online-mode:true. Сервера с AuthMe и прочими плагинами авторизации как всегда защищены от взлома.
Если в кратце, то через некоторое время после отправки первого хэндшейка злоумышлненник может отправить второй, но уже не с реальным именем, для которого существует валидная сессия, а с фейковым. Сервер авторизует взломщика под вторым ником, и позволит ему делать свои тёмные делишки.
Под уязвимость попадают сервера всех версий (лично я тестировал только с 1.4.7-1.6.2).
Фикс - https://github.com/Bukkit/CraftBukkit/commit/fdc56564e248dc0797696c8f6463c2ffda781035 (только для тру-админов)
Для прочих админов есть готовые фиксы -

CraftBukkit:
Все последние официальные билды CraftBukkit имеют фикс уязвимости

Spigot:
Все последние официальные билды Spigot имеют фикс уязвимости

1.4.7 - Мой класс, с сообщением для лалок с mmoru (кинуть в jarник вашего MCPC+ 1.4.7) или ядро с фиксом от agaricusb
1.5.2 - Фикс есть в билдах 640 и выше - http://ci.md-5.net/job/MCPC-Plus-Legacy/640/
1.6.x - Просто обновитесь до последних билдов MCPC - http://ci.md-5.net/job/MCPC-Plus/

@slenky, @Linkinkov и прочие - прикрепите тему, пожалуйста.

 

Спасибо! Пригодилось!

 

Этот баг работает на spigot-1.4.7-R1.1? Если да, то можно фикс файлик, как для MCPC+ 1.4.7 ?

 

Не Фиксит....

 

Соберите из сорцев сами, это не сложно.

Скорее всего вы где-то накосячили, или вас ломают через другую уязвимость.

 

На сколько я понял, просто добавить

Код:

if (this.g != null) {
            this.disconnect("Invalid username " + this.g);
} 

в файл PendingConnection.java ?

 

Именно.

 

Где этот файл находится?

 

https://github.com/SpigotMC/Spigot-Server
@maximcs1, инструкции по компиляции там же

 

Эммм... Здесь лежит фикс дупликации команд при нажатии TAB для автозаполнения при активном окне чата.

 

В каком комите фикс тогда был?

 

https://github.com/MinecraftPortCen...mmit/6348cd4e32a623db230c4b5834de9958ec490781

 

Тоесть, если я засуну в ядро

 

Если не секрет, что же находится в "сообщении для лалок"?))

 

а есть для 1.7.2?

 

Нет и не будет, там нет этой уязвимости.

 

спасибо за ответ

 

не доступен для скачивания

 

На*** апнул? Тема древняя как *** мамонта

 

Я просто попросил исправить ссылку!