【緊急:対策あり】PermissionExにサーバークラッシュを引き起こす脆弱性

昨夜、日本のあるDiscordグループで、PermissionsExにサーバークラッシュを引き起こす脆弱性が発見されました。
すでに、Youtubeで暴れている荒らし集団がTwitterで脆弱性残せとか言ってるあたり、早速使う気でいるようです。
今回は、アップデートなどでの対応までの間被害を押さえるための改造方法をご案内します。
動画も用意されていますので、合わせてご覧いただければと。
このブログでは、動画を補完するように書いています。(今後SS追加します。)

ニコニコ動画はこちら

なお、TCRS Hostingご利用中のお客様には、お問い合わせいただければ、無償で本件の対応をさせていただきます。

事前準備

テキストエディタを導入していない場合は、こちらの参考サイトに従ってダウンロード・インストールしてください。

続いて、拡張子が表示されるように設定変更します。
これらの参考サイトに従って表示設定をしてください。
Windows7以前
Windows10

jarファイルの加工

まずはPermissionsExの最新版をダウンロードします。
ダウンロードしたファイルを、適当な場所に作業フォルダを用意し、そこにコピーします。
そして、拡張子をjar から zipに変更し、そしたらzipファイルを開きます。

中にある[plugin.yml]をコピーして作業用のフォルダに貼り付けます
そして、[plugin.yml]を開き、以下のコードをコピーして映像の通り貼り付けてください。
permission: permissionsex
完了したら、上書き保存して閉じてください。

後は、さきほどのzipファイルに[plugin.yml]をドラッグアンドドロップします。
拡張子をjarに戻して改造は完了です。

普通にプラグインを更新するのと同じようにサーバーを終了してから入れましょう。

パーミッション設定の変更

サーバーjarのあるフォルダにある、[plugins]フォルダに先ほど入れ直したjarが有るはずです。
そして、そのフォルダの中に[PermissionsEx]フォルダがあるはずです。

その中にある[permissions.yml]を編集します。
- -permissionsex
上記のコードを、コピーして利用させたくないグループのところに貼り付けましょう。
動画での操作を参考にしてください。
後は保存をして完了です。

動作確認とまとめ

それでは、サーバーを立ち上げて、もしあるならば管理権限のないアカウントか友達に頼んでテストをしてみましょう。
/pex コマンドが実行できなければ、この動画で設定した内容は正常に動作しています。
ここまでお疲れ様でした。

今後も今回のような問題が発生した場合には、このWEBサイトやTwitterでご案内します。
テロリストに壊滅を。そして日本Minecraft業界に平和を。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です