Le développeur suédois de jeux vidéo Mojang Studios a publié une mise à jour de sécurité d’urgence de Minecraft pour corriger un bug critique dans la bibliothèque de journalisation Java Apache Log4j utilisée par le client Java Edition et les serveurs multijoueurs du jeu.
La vulnérabilité est corrigée avec la sortie de Minecraft : édition Java 1.18.1, qui est maintenant déployé pour tous les clients.
« Cette version corrige un problème de sécurité critique pour les serveurs multijoueurs, modifie le fonctionnement du brouillard mondial pour rendre plus visible le monde et corrige quelques autres bugs », a déclaré la société aujourd’hui.
« Si vous utilisez un serveur multijoueur, nous vous encourageons vivement à passer à cette version dès que possible. »
Pour passer à la version corrigée, il est conseillé à ceux qui utilisent le client de jeu officiel de Mojang de fermer toutes les instances de jeu en cours et de Minecraft Launcher et de redémarrer le Launcher pour installer le correctif automatiquement.
Les joueurs qui utilisent des clients Minecraft modifiés et des lanceurs tiers doivent contacter leurs fournisseurs tiers pour une mise à jour de sécurité.
Ceux qui hébergent leurs propres serveurs Minecraft : Java Edition devront passer par différentes étapes selon la version qu’ils utilisent, comme indiqué ici.
La sécurité des joueurs est la priorité absolue pour nous. Malheureusement, plus tôt dans la journée, nous avons identifié une faille de sécurité dans Minecraft : Java Edition.
Le problème est corrigé, mais veuillez suivre ces étapes pour sécuriser votre client de jeu et/ou vos serveurs. Veuillez RT pour amplifier.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) 10 décembre 2021
Vulnérabilité RCE non authentifiée activement exploitée
Le bug, maintenant suivi comme CVE-2021-44228 et surnommé Log4Shell ou LogJam, est une faille d’exécution de code à distance (RCE) trouvée dans l’omniprésente bibliothèque de journalisation Apache Log4j Java et signalée par l’équipe de sécurité d’Alibaba Cloud.
Il affecte les configurations par défaut de plusieurs frameworks Apache, notamment Apache Struts2, Apache Solr, Apache Druid et Apache Flink, utilisés par d’innombrables produits logiciels d’entreprise d’Apple, Amazon, Cloudflare, Twitter, Steam et autres.
Les attaquants scannent déjà massivement Internet [1, 2] pour les systèmes vulnérables et, selon un Avis de sécurité CERT NZ, ils l’exploitent également activement dans la nature.
Cela a également été confirmé par Directeur de l’Ingénierie de la Coalition – Sécurité Tiago Henriques et expert en sécurité Kevin Beaumont.
Apache a déjà publié Log4j 2.15.0 pour remédier à cette vulnérabilité de gravité maximale. CVE-2021-44228 peut également être atténué dans les versions précédentes (2.10 et versions ultérieures) en définissant la propriété système « log4j2.formatMsgNoLookups » sur « true » ou en supprimant la classe JndiLookup du chemin de classe.
La société de sécurité Lunasec a souligné la gravité des attaques CVE-2021-44228 plus tôt dans la journée, en disant que « de très nombreux services sont vulnérables à cet exploit. Des services cloud comme Steam, Apple iCloud et des applications comme Minecraft se sont déjà révélés vulnérables. »
« Toute personne utilisant Apache Struts est probablement vulnérable. Nous avons déjà vu des vulnérabilités similaires exploitées dans des violations comme la violation de données Equifax en 2017 », ont-ils ajouté.