月: 2016年10月

2016年度、秋のハロウィンイベント  開催中!!!

2016-10-24_19-12a
いつも「できたてさーばー(猫)」をご利用いただき誠にありがとうございます。
2016年10月27日から2016年11月15日までの期間中にハロウィンイベント
開催いたします。

今回のイベントの内容ですが、ハロウィンということで、お化け屋敷なステージを
こちらでご用意させていただきました。

お化け屋敷内でとある封印を何個か解くとボスへの参加資格が得られ、
ボスを倒し終えるとランダムに一つハロウィン限定のアイテムをゲットできます!
中には以前にもあったクリスマスイベントの「防寒着」のように耐久値が減らない
装備もございます。

場所はイベントワールドに入ってすぐ右のショートカットからすぐにでもご参加出来ます
ので、ご興味のある方は是非参加してみて下さい。

Dynmapにおけるセキュリティホールについて

Minecraftサーバーでは有名なDynmapですが、アクセス権に関するセキュリティホールがあり、当サーバーでも該当していたので報告します。

DynmapでMySQLを使用している場合、「web/standalone/MySQL_config.php」にSQLサーバーにアクセスするために必要なデータが記述されます。

これには、MySQLサーバーの「ホスト、ポート、ユーザーID、パスワードなど」が含まれており、すべて平文で読み取ることが可能です。

dynmap_mysql_config

 

公式ドキュメントには、導入に関してこのようなファイルが生成されるという記述がなく、挙句の果てには、「standalone」フォルダにフルアクセス権限を与えるトラブルシューティングが載っています。。。

 

このセキュリティホールは、非常に危険で、該当ポートが開いている場合、悪意のあるユーザーがMySQLサーバーにアクセスし、DBを弄ることが可能になってしまいます。また、ポートが閉まっている場合でも、パスワードを使いまわしている場合は、他のサービスが攻撃される可能性があります。

DynmapでMySQLを使用している管理者様は必ず確認してください。私がminecraft.jpにあるサーバーリストで確認したところ、いくつものサーバーがMySQL_config.phpを読み取ることが可能な状態でした。

修正方法

重大なセキュリティホールですが、これはアクセス権を適切に設定することで簡単に修正することが可能です。

Linux系の場合は「standalone」フォルダのアクセス権を644に。

Windows系の場合は「standalone」フォルダのアクセス権を全て拒否(項目が多く、必要な権限について詳しくは特定していません。)することでアクセスすることができなくなります。

また、MySQL_config.phpを読み取ることが可能な状態に合致していた場合は、関連するパスワードの変更を強く推奨します。

 

間違い、質問等があればコメントか@ken_kentanにまでお願いします。また、この件は既に開発者に報告済みです。

Super Cube World アップデート v1.3.20

scw_update_v1320

Super Cube World v1.3.20 をリリースしました。

  • Google Play Games Services | Cloud Save に対応
  • Android Nに対応
  • ステージ読み込みスピードを改善

 

Google Play Games Services | Cloud Save に対応

Google Play Games Servicesにログインしている場合、クラウドを介したセーブデータの同期が可能になりました。

起動時にクラウド上のセーブデータと端末のセーブデータを比較し、クリアしているステージレベルが高い方を優先し、上書きします。

 

ステージ読み込みスピードを改善

ステージ読み込みの際、60fpsを保証できるまで待っていたのを50fpsに引き下げました。