Les mods de jeu peuvent-ils créer des vulnérabilités de dépassement de tampon?
https://stackoverflow.com//questions/21032142
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je ne post généralement pas dans des forums car normalement, je peux trouver une réponse dont j'ai besoin d'utiliser Google. Cependant, chaque recherche que je suis en cours me donne des résultats très spécifiques, tels que des vulnérabilités de débordement tampon qui existent déjà pour un jeu ou un système spécifique qui n'est pas ce dont j'ai besoin.
J'ai un réseau domestique comprenant Windows Server 2008 R2 et mon fils souhaite démarrer un serveur MINECRAFT qui, bien sûr, je souhaite lui donner pleinement accès à ce qu'il peut apprendre. Cependant, je sais que chaque jeu est "moddable" et il utilise des cartes personnalisées et similaires dans beaucoup de ses jeux.
Mon inquiétude est que je vais créer des risques de sécurité sur mon réseau sur la base de la programmation inexpérimentée. Va lui donner la possibilité d'installer et de créer des mods sur mon serveur potentiellement open up vulnérabilités (en dehors des ports de minecraft ouverts) en raison de l'inexpérience possible des personnes qui écrivent les mods? Ou les mods ne fonctionnent tout simplement pas de cette façon et je ne trouve pas de réponse à ma question car il est retardé et personne ne programme réellement un mod lol?
La solution
dépend de la manière dont le système Mod fonctionne pour le jeu et si le jeu lui-même est de bac à sander. Il est important de noter que aucun logiciel n'est parfaitement sécurisé. Vous devez décider quel niveau de sécurité et de fiabilité vous êtes satisfait.
Il existe plusieurs façons qu'un MOD pourrait exposer une vulnérabilité:
- Le jeu pourrait permettre à l'accès MOD d'un ensemble d'actions de manière inappropriée, telle que l'accès au système de fichiers. Cela peut inclure le développeur qui ne sandule pas correctement le mod.
- Le MOD pourrait exploiter une vulnérabilité dans l'API du jeu pour accéder aux actions que le développeur de jeux n'a pas l'intention. Cela serait dû à un bogue dans l'API.
- Le mod pourrait exploiter une vulnérabilité dans le moteur de langue (par exemple, Java a une longue histoire de vulnérabilités de sécurité).
- Le mod lui-même pourrait être vulnérable à l'attaque et pourrait être fait pour lancer l'une des attaques ci-dessus.
Si le système MOD est basé sur le script ou la machine virtuelle, telle que Lua, JavaScript ou Java, je vous sentirais relativement Safe Installing Mods (tant que le jeu a une API / Sandbox bien implémentée), Parce que les exploits 2-4 sont relativement improbables.
(Ma compréhension des mods / plugins de code native est limitée, mais je suis sûr que vous devez faire confiance à un mod natif si vous voulez l'exécuter. Même si vous le faites, cela pourrait toujours être Exploitable.)
Ma compréhension des mods Minecraft est qu'ils sont écrits en Java. Mon sentiment à propos des gars de Mojang est qu'ils savent ce qu'ils font, je serais donc surpris si leur API mod n'est pas exceptionnellement bien conçue et mise en œuvre. Cela dit, l'installation des mods nécessairement introduit un risque de sécurité.
Si ce risque est inacceptable, vous pouvez le réduire en introduisant une profondeur au système. Pourquoi ne pas dire, exécutez votre serveur Minecraft dans une machine virtuelle, avec un accès limité au réseau (uniquement des ports requis, par exemple)? De cette façon, l'impact des vulnérabilités est considérablement réduit.
Je recommanderais de créer un Ubuntu VM sur VirtualBox (car ils sont libres que dans la bière), mais vous pouvez l'installer sur tout système d'exploitation que vous êtes à l'aise.
Autres conseils
Les vulnérabilités de dépassement de la mémoire tampon sont associées à des langages de programmation qui permettent un accès à la mémoire non vérifiée.Minecraft est écrit en Java, une langue qui n'est pas susceptible de dépasser les tampons, donc un mod pur-java serait très peu susceptible de présenter quelque chose ressemblant à ce type de vulnérabilité.
Les programmes naturels de Java peuvent toujours être vulnérables à d'autres types de problèmes de sécurité, soit contre le jeu lui-même (par exemple, il y a eu des exploits de connexion au compte de jeu contre les serveurs Minecraft) ou contre le serveur (je ne suis au courant d'aucune connue.Cas de cela pour Minecraft, mais c'est toujours possible).Les mesures d'atténuation habituelles pour les serveurs d'exécution s'appliquent, par exemple, verrouillent l'accès réseau à de bonnes ips si possible, exécutez le serveur en tant qu'utilisateur limité, etc.
