>> La recherche se fait sur tous les élements du jeu Minecraft <<
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs

Une faille de sécurité découverte dans l'édition Java

Le 12/12/2021 à 16h33
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs

Une faille de sécurité a été découverte dans l'édition Java de Minecraft ce vendredi matin, une faille qui permet a un attaquant d'éxécuter du code malicieux a distance. Mojang a imméditement patché la dernière Release 1.18.1 pour corriger le problème mais les anciennes version du jeu reste potentiellement toujours impacté.


Une faille découverte dans la bibliothèque log4j
Vendredi matin c'est un séisme qui a fis trembler une bonne partie des développeurs Java dans le monde entier lorsqu'on appris la découverte d'une faille de type "zero day" dans la bibliothèque log4j qui est utilisée par de très nombreuses applications java à travers le monde, et en particulier dans Minecraft depuis la version 1.7.
Cette bibliothèque permet de gérer le logging dans les logiciels, c'est a dire de générer des rapports avec diverses informations: message d'erreurs, informations de debuggages, etc. Cette bibliothèque permet de simplifier la génération de ces logs, en permettant de les paramètres via de simple fichier de configuration, on peut ainsi choisir le type de message a loguer, où enregistrer ces informations, etc.

Mais ce vendredi on a appris l’existence d'une faille de type 0-day, c'est à dire une faille qui été semble-t-il déjà exploité (et même largement exploité) par des attaquants et qui n'était toujours pas corrigé dans la bibliothèque au moment de sa révélation. La faille a mémé était qualifié de grave de part sa simplicité d'exploitation et sa large diffusion. La faille a été très rapidement patché dès vendredi matin par les créateurs de la bibliothèques, et Mojang a également réagit très vite, puisque dès 5h le matin ils ont sortie la nouvelle Release candidate 1.18.1-rc3 pour y inclure la version corrigée de log4j, quelques heures seulement avant la sortie de la Release 1.18.1 qui inclus évidement le même correctif.


Quels risques pour les joueurs de Minecraft ?
La faille découverte permet a un attaquant qui connait les messages logguées d'injecter dans ces logs une chaine de caractères particulière qui sera executée par log4j. Plus précisément ce sont des commandes de types jndi qui pouvait être executé, permettant d'appeller des services tels que http, dns, LDAP, etc.

Mais pour injecter ces commandes dans vos logs, il faut se connecter avec vous, ainsi la faille n'a aucun impact sur vous si vous jouez en solo, seul les joueurs qui jouent sur des serveurs multijoueurs pourraient être impacté.

Lorsque la faille est exploité, elle permet au attaquant d'accéder à un certain nombre de service hébergé sur la machine de la cible, mais finalement tous ces services ne sont pas spécialement sensible (par exemple cela n'apporterai pas grand chose à un attaquant de charger une page web sur l'ordinateur de la victime). Le service le plus sensible est le service LDAP, car c'est lui qui gère les comptes d'utilisateurs sur les réseaux d'entreprises. C'est également en exploitant ce service que des attaquants pourraient injecter du code a exécuter à distance.

Les propriétaires de serveur sont également évidement impacté, et finalement ils le seront même plus que les joueurs, car ils ont plus de risque d'avoir un service LDAP accessible sur la machine.

Seul les joueurs de Minecraft édition Java sont impacté, la bilbiothèque log4j, comme son nom l'indique, n'est disponible que pour Java et n'est donc pas utilisé par l'édition Bedrock.

Finalement, sauf si vous êtes administrateurs systèmes dans une grande entreprise et que vous jouer à Minecraft en multijoueurs sur votre station de travail, le risque reste modéré. La faille qui a été qualifié de grave est surtout grave car elle log4j est utilisé par de nombreuses applications professionnelles connectées et accessible en lignes, ce qui donne aux attaquant un accès direct aux serveurs qui éxécute ces services et donc la possibilité d'en prendre le contrôle. Mais dans le cas de Minecraft, les risques devrait être beaucoup moins important.


Comment se protéger de cette faille ?
Mojang a corriger la faille dans la version 1.18.1 de Minecraft, vous êtes donc fortement encourager à joué sur cette version pour éviter tout risque d'attaque. Hasard ou volonté ? Mojang a pris la peine de ne pas changer le numéro de protocole entre les versions 1.18 et 1.18.1, ce qui signifie que vous devriez pouvoir jouer sur un serveur en version 1.18 avec votre jeu en version 1.18.1.

Si vous jouer sur d'ancienne version de Minecraft il faudra prendre quelque précaution supplémentaire:
  • Pour les versions Alpha, Beta, et Release 1.0.0 à 1.6: Aucun problème car Minecraft n'utilisait pas log4j, donc aucun risque.
  • Pour les versions 1.7 à 1.17 par contre il faudra prendre plus de précaution, n'utilisez qu'un launcher qui a été patché pour corriger le problème. Bien entendu le launcher officiel de Mojang a déjà été patché, il suffit de le relancer pour qu'il se mette automatiquement a jour et intégré le correctif. Si vous utilisez un launcher alternatif, attendez une annonce officielle des créateurs indiquant que leur launcher a été patché pour corriger le problème.
  • Et dans tous les cas, si vous jouez en version 1.18.1 ou si vous ne jouez qu'en solo vous n'êtes pas impacté par ce problème.
Pour les propriétaires de serveurs multijoueurs, Mojang donne quelques astuces pour protéger votre serveurs de potentiels attaques ici.


Le launcher FR-Minecraft déjà patché
Et justement, je vous annonce qu'aujourd'hui le launcher FR-Minecraft a été patché pour corriger le problème, pensez a installer la dernière mise à jour 1.13.1 pour être protégé.

Cette mise à jour apporte également quelques autres changements plus technique mineurs:
  • Migration vers le framework .NET 4.6.1, ainsi vous n'avez rien d'autre a installer sous Windows 10 (merci à franswa pour la suggestion)
  • Mise à jour des libs (json et zip)
  • Suppression des status (car Mojang a fermé son API de status)
Vous pouvez télécharger le launcher FR-Minecraft en cliquant ici.
Cet article a été publié par Tronics, le 2021-12-12 16:33:41. Source
Validé par  Tronics. Dernière modification par  Tronics le 14/12/2021 à 0:31.
Partager :
Commentaires de la news Minecraft
Une faille de sécurité découverte dans l'édition Java :
Tronics (administrateur)
le 12/12/2021 à 16:47
Je trouve dommage de voir le ton extremement dramatique que Mojang a dans son article officiel, alors qu'en analysant plus en profondeur on s'aperçoit que pour la majorité des joueurs c'est quelques choses de peu impactant. Au final j'ai peur que le risque a force de voir ce type d'article dramatique c'est de faire peur a tout le monde pour rien, de faire croire que les ordinateurs sont des choses dangeureuses, et c'est comme ça qu'on se retrouve avec des vrais attaques qui marche magnifiquement bien, mais pas des attaques techniques, des attaques sociales: du genre les brouteurs ivoiriens qui vous vendent du faux support Microsoft, ou du chantages contre des fausses infections de virus type faux ransomware pour vous faire payez alors qu'il n'y a rien.

En bref, face a ce genre d'annonce, la bonne démarche c'est de garder la tête froide, analyser le problème avec des sources fiables et neutre, et voir en quoi nous sommes impacté réellement.

J'apprecie cependant que Mojang prenne la peine de donner la marche a suivre pour les propriétaires de serveurs pour protéger leurs serveurs, en fournissant des fichiers de config et les lignes de commandes a utiliser, y compris pour les anciennes versions du jeu :-)
wawCchaud (anonyme)
le 12/12/2021 à 16:52
c chaud
le 12/12/2021 à 17:00
Intéressant, cette petite aparté sur le fonctionnement technique de java et ses failles…
(enfin……ce que j'en ai compris ! XD)
franswa (rédacteur)
le 12/12/2021 à 17:05
Je vais aller à contre courant du ton rassurant de Tronics car en vrai c'est beaucoup plus grave que ça. L'attaquant peut très bien mettre en place un serveur LDAP et te forcer à t'y connecter via cette faille. Derrière c'est là ou je maitrise pas des masse mais de ce que j'ai compris, le LDAP peut te renvoyer une classe java qui est exécutée par le client. A partir de la on peut s'imaginer que l'attaquant te fasse télécharger un fichier malveillant, te fasse miner du bitcoin ou je ne sais trop quelle connerie. C'est clairement la plus grosse faille de sécurité qu'il y ait jamais eu dans Minecraft.
Miinimax (anonyme)
le 12/12/2021 à 21:40
Hello @Tronics;,

Je suis d'accord sur le fait que des groupes d'attaquants cibleront principalement des entreprises avec cette faille, mais il ne faut pas minimiser l'impact grand public non plus.

Comme tu l'as très bien dit toi même en intro de l'article, la vulnérabilité permet d’exécuter du code à distance. LDAP ici n'est qu'un protocole utilisé pour récupérer le code à exécuter, mais celui-ci peut faire virtuellement n'importe quoi, exécuter n'importe quel malware.

On parle d'ici d'une porte d'entrée sur les postes de tous les joueurs sur un serveur d'une version non patché. Et sans avoir besoin d'une action desdits joueurs, contrairement à du phisinhg par mail par exemple, où la personne doit cliquer sur le lien / ouvrir la piece-jointe. C'est ça le plus intéressant (et le plus dangereux) :)
Tronics (administrateur)
le 12/12/2021 à 22:24
franswa : Merci pour ce retour, j'avoue que je ne connais pas du tout JNDI, du coup j'ai peut être loupé un truc, donc du coups saurais-tu par quel mecanisme il pourrait installer un serveur LDAP ? Car j'ai du mal a voir ca avec un simple lien, lien qui d'ailleur ne devrait même pas être compris si un serveur n'est pas déjà présent... J'ai probablement loupé un truc si tu dis vrai.
franswa (rédacteur)
le 12/12/2021 à 23:04
Pour temporiser un peu ma réponse mise en masquée juste au dessus, un petit complément en clair : je pense que la plupart des pare-feu empêcheraient des connexions sur un port LDAP vers un serveur distant mais on peut pas faire de sécurité informatique en partant du principe que les autres couches de notre setup vont tanker pour le reste.
AARBROBASE (anonyme)
le 13/12/2021 à 16:29
Eh franswa
Tu t y connais drolement bien!
Donc C surement pour ca que Rinaoec etait en maintenance vendredi et samedi. Tu sais si Hypixel on corrige cette faille?
franswa (rédacteur)
le 13/12/2021 à 17:57
@AARBROBASE hypixel a corrigé la faille . J'ai verifié sur leur forum.
Tronics (administrateur)
le 14/12/2021 à 00:32
Merci pour vos retours, j'ai édité la news pour nuancer un peu plus le risque d'après vos retours !
Tronics (administrateur)
le 14/12/2021 à 00:38
AARBROBASE/franswa: Hypixel a un launcher ? Je demande car je ne connais que le serveur multi, et le fait que le serveur soit patché ou non n'a aucun impact sur les joueurs, les 2 doivent corriger le problème chacun de son coté: client et serveur, mais jouer sur un serveur non patché ne fera pas prendre de risque à un client patché, au pire des cas en cas d'attaque il pourraient corrompre la partie multijoueur, mais en aucun cas le PC des joueurs eux même.
franswa (rédacteur)
le 14/12/2021 à 00:40
Pour clôturer définitivement le summum de ce qui est faisable via cette faille: un mec a fait un serveur qui charge les classes du portage java de DOOM. On peut voir dans cette vidéo twitter que la transition entre Minecraft et DOOM se fait de façon quasi instantanée et dans la même fenêtre. https://twitter.com/gegy1000/status/1469714451716882434?t=3ptkxVHBZMiavDHNm5d5Rg&s=19
franswa (rédacteur)
le 14/12/2021 à 13:00
@Tronics non ils ont pas de launcher. Après là ou les serveurs moddés peuvent agir, c'est bloquer l'envoi de la chaine de caractères en question dans le chat pour éviter que des joueurs se fassent pirater via leur serveur.
le 15/12/2021 à 18:43
ya pas grand monde qui é concerné
btbi (anonyme)
le 17/12/2021 à 23:29
bizare
tre bizare
tre tre bizare

Vous devez être connecté pour laisser un commentaire.