CrashExploitFixer - это мод-фикс для Майнкрафт, который закрывает несколько серьёзных уязвимостей в мультиплеере. По факту, это патч для тех моментов, когда злоумышленники могут положить сервер или клиент с помощью хитрых пакетов или NBT-данных. Если вы запускаете сервер - штука почти обязательная, потому что в ванилле (да и в некоторых модифицированных сборках) такие дыры могут висеть годами.

Мод работает на версиях от 1.14.4 до последней на данный момент (1.21.4) и совместим с Fabric, Forge и NeoForge. Ничего лишнего не ставит, просто фиксит три конкретные проблемы.

Какие уязвимости чинит

Переполнение стека через селектор NBT

На версиях с 1.14.4 и до последних, если злоумышленник передавал вложенные NBT-данные внутри селектора сущностей, парсер TagParser мог вызвать рекурсию до упора и просто уронить сервер из-за stack overflow. Начиная с 1.21.1 обычные игроки не могут использовать эту атаку через обычные селекторы, но операторы и креативщики - вполне. PaperMC, кстати, закрыли подобную проблему ещё до Mojang, но в форджевых/неофорджевых сборках это могло остаться открытым. Мод CrashExploitFixer закрывает этот вектор на всех поддерживаемых версиях.

Чрезмерное выделение памяти через сетевые объекты

Ещё одна DoS-атака: злоумышленник может отправить вредоносный пакет, который при десериализации коллекций (FriendlyByteBuf.readCollection, readMap) выделяет огромное количество памяти. Это валит сервер или клиент - особенно если пакет шёл через Fabric API или модовые пакеты. Для NeoForge и Fabric они выпустили патчи для своих активных версий (1.21.1, 1.20.1 и т.д.), но Forge и старые версии оставались под ударом. CrashExploitFixer дополняет защиту там, где её нет.

Рекурсивный текст и раздувание компонентов

Уязвимость в версиях 1.16-1.21.4 позволяет атакующему составить текстовый компонент (translatable component), который при парсинге или вызове Component#getString() невероятно расширяется - вплоть до того, что съедает всю память. В ванилле 1.20.5-1.21.4 для этого хватило просто ховер-ивента, без повышенных прав. PaperMC защищались от этого годами, а моды, использующие FriendlyByteBuf#readComponent(), особенно уязвимы. CrashExploitFixer ставит точку и здесь.

Совместимость и примечания

• Поддерживаемые загрузчики: Fabric, Forge, NeoForge
• Версии: от 1.14.4 до 1.21.4
• Не конфликтует с патчами от Paper, NeoForge или Fabric - наоборот, дополняет их
• Никаких лишних мусорных фич - только фикс безопасности

Кстати, хоть мод и называется CrashExploitFixer, он не просто красит краш, а именно закрывает уязвимости. Если вы собираете публичный сервер - рекомендую поставить сразу. Даже если в сборке уже есть всякие оптимизации, лишняя защита от этих трёх векторов не помешает.

Скачать CrashExploitFixer можно для любой из поддерживаемых версий и загрузчиков - он лёгкий, без зависимостей, просто кладётся в папку mods.