Minecraft lance un correctif pour la vulnérabilité critique de Log4j

Minecraft rushes out patch for critical Log4j vulnerability

Le développeur suédois de jeux vidéo Mojang Studios a publié une mise à jour de sécurité d’urgence de Minecraft pour corriger un bug critique dans la bibliothèque de journalisation Java Apache Log4j utilisée par le client Java Edition et les serveurs multijoueurs du jeu.

La vulnérabilité est corrigée avec la sortie de Minecraft : édition Java 1.18.1, qui est maintenant déployé pour tous les clients.

« Cette version corrige un problème de sécurité critique pour les serveurs multijoueurs, modifie le fonctionnement du brouillard mondial pour rendre plus visible le monde et corrige quelques autres bugs », a déclaré la société aujourd’hui.

« Si vous utilisez un serveur multijoueur, nous vous encourageons vivement à passer à cette version dès que possible. »

Pour passer à la version corrigée, il est conseillé à ceux qui utilisent le client de jeu officiel de Mojang de fermer toutes les instances de jeu en cours et de Minecraft Launcher et de redémarrer le Launcher pour installer le correctif automatiquement.

Les joueurs qui utilisent des clients Minecraft modifiés et des lanceurs tiers doivent contacter leurs fournisseurs tiers pour une mise à jour de sécurité.

Ceux qui hébergent leurs propres serveurs Minecraft : Java Edition devront passer par différentes étapes selon la version qu’ils utilisent, comme indiqué ici.

Vulnérabilité RCE non authentifiée activement exploitée

Le bug, maintenant suivi comme CVE-2021-44228 et surnommé Log4Shell ou LogJam, est une faille d’exécution de code à distance (RCE) trouvée dans l’omniprésente bibliothèque de journalisation Apache Log4j Java et signalée par l’équipe de sécurité d’Alibaba Cloud.

Il affecte les configurations par défaut de plusieurs frameworks Apache, notamment Apache Struts2, Apache Solr, Apache Druid et Apache Flink, utilisés par d’innombrables produits logiciels d’entreprise d’Apple, Amazon, Cloudflare, Twitter, Steam et autres.

Les attaquants scannent déjà massivement Internet [12] pour les systèmes vulnérables et, selon un Avis de sécurité CERT NZ, ils l’exploitent également activement dans la nature.

Cela a également été confirmé par Directeur de l’Ingénierie de la Coalition – Sécurité Tiago Henriques et expert en sécurité Kevin Beaumont.

Apache a déjà publié Log4j 2.15.0 pour remédier à cette vulnérabilité de gravité maximale. CVE-2021-44228 peut également être atténué dans les versions précédentes (2.10 et versions ultérieures) en définissant la propriété système « log4j2.formatMsgNoLookups » sur « true » ou en supprimant la classe JndiLookup du chemin de classe.

La société de sécurité Lunasec a souligné la gravité des attaques CVE-2021-44228 plus tôt dans la journée, en disant que « de très nombreux services sont vulnérables à cet exploit. Des services cloud comme Steam, Apple iCloud et des applications comme Minecraft se sont déjà révélés vulnérables. »

« Toute personne utilisant Apache Struts est probablement vulnérable. Nous avons déjà vu des vulnérabilités similaires exploitées dans des violations comme la violation de données Equifax en 2017 », ont-ils ajouté.