Une faille de sécurité découverte dans l'édition Java

Une faille de sécurité a été découverte dans l'édition Java de Minecraft ce vendredi matin, une faille qui permet a un attaquant d'éxécuter du code malicieux a distance. Mojang a imméditement patché la dernière Release 1.18.1 pour corriger le problème mais les anciennes version du jeu reste potentiellement toujours impacté.


Une faille découverte dans la bibliothèque log4j
Vendredi matin c'est un séisme qui a fis trembler une bonne partie des développeurs Java dans le monde entier lorsqu'on appris la découverte d'une faille de type "zero day" dans la bibliothèque log4j qui est utilisée par de très nombreuses applications java à travers le monde, et en particulier dans Minecraft depuis la version 1.7.
Cette bibliothèque permet de gérer le logging dans les logiciels, c'est a dire de générer des rapports avec diverses informations: message d'erreurs, informations de debuggages, etc. Cette bibliothèque permet de simplifier la génération de ces logs, en permettant de les paramètres via de simple fichier de configuration, on peut ainsi choisir le type de message a loguer, où enregistrer ces informations, etc.

Mais ce vendredi on a appris l’existence d'une faille de type 0-day, c'est à dire une faille qui été semble-t-il déjà exploité (et même largement exploité) par des attaquants et qui n'était toujours pas corrigé dans la bibliothèque au moment de sa révélation. La faille a mémé était qualifié de grave de part sa simplicité d'exploitation et sa large diffusion. La faille a été très rapidement patché dès vendredi matin par les créateurs de la bibliothèques, et Mojang a également réagit très vite, puisque dès 5h le matin ils ont sortie la nouvelle Release candidate 1.18.1-rc3 pour y inclure la version corrigée de log4j, quelques heures seulement avant la sortie de la Release 1.18.1 qui inclus évidement le même correctif.


Quels risques pour les joueurs de Minecraft ?
La faille découverte permet a un attaquant qui connait les messages logguées d'injecter dans ces logs une chaine de caractères particulière qui sera executée par log4j. Plus précisément ce sont des commandes de types jndi qui pouvait être executé, permettant d'appeller des services tels que http, dns, LDAP, etc.

Mais pour injecter ces commandes dans vos logs, il faut se connecter avec vous, ainsi la faille n'a aucun impact sur vous si vous jouez en solo, seul les joueurs qui jouent sur des serveurs multijoueurs pourraient être impacté.

Lorsque la faille est exploité, elle permet au attaquant d'accéder à un certain nombre de service hébergé sur la machine de la cible, mais finalement tous ces services ne sont pas spécialement sensible (par exemple cela n'apporterai pas grand chose à un attaquant de charger une page web sur l'ordinateur de la victime). Le service le plus sensible est le service LDAP, car c'est lui qui gère les comptes d'utilisateurs sur les réseaux d'entreprises. C'est également en exploitant ce service que des attaquants pourraient injecter du code a exécuter à distance.

Les propriétaires de serveur sont également évidement impacté, et finalement ils le seront même plus que les joueurs, car ils ont plus de risque d'avoir un service LDAP accessible sur la machine.

Seul les joueurs de Minecraft édition Java sont impacté, la bilbiothèque log4j, comme son nom l'indique, n'est disponible que pour Java et n'est donc pas utilisé par l'édition Bedrock.

Finalement, sauf si vous êtes administrateurs systèmes dans une grande entreprise et que vous jouer à Minecraft en multijoueurs sur votre station de travail, le risque reste modéré. La faille qui a été qualifié de grave est surtout grave car elle log4j est utilisé par de nombreuses applications professionnelles connectées et accessible en lignes, ce qui donne aux attaquant un accès direct aux serveurs qui éxécute ces services et donc la possibilité d'en prendre le contrôle. Mais dans le cas de Minecraft, les risques devrait être beaucoup moins important.


Comment se protéger de cette faille ?
Mojang a corriger la faille dans la version 1.18.1 de Minecraft, vous êtes donc fortement encourager à joué sur cette version pour éviter tout risque d'attaque. Hasard ou volonté ? Mojang a pris la peine de ne pas changer le numéro de protocole entre les versions 1.18 et 1.18.1, ce qui signifie que vous devriez pouvoir jouer sur un serveur en version 1.18 avec votre jeu en version 1.18.1.

Si vous jouer sur d'ancienne version de Minecraft il faudra prendre quelque précaution supplémentaire:

• Pour les versions Alpha, Beta, et Release 1.0.0 à 1.6: Aucun problème car Minecraft n'utilisait pas log4j, donc aucun risque.
• Pour les versions 1.7 à 1.17 par contre il faudra prendre plus de précaution, n'utilisez qu'un launcher qui a été patché pour corriger le problème. Bien entendu le launcher officiel de Mojang a déjà été patché, il suffit de le relancer pour qu'il se mette automatiquement a jour et intégré le correctif. Si vous utilisez un launcher alternatif, attendez une annonce officielle des créateurs indiquant que leur launcher a été patché pour corriger le problème.
• Et dans tous les cas, si vous jouez en version 1.18.1 ou si vous ne jouez qu'en solo vous n'êtes pas impacté par ce problème.

Pour les propriétaires de serveurs multijoueurs, Mojang donne quelques astuces pour protéger votre serveurs de potentiels attaques ici.


Le launcher FR-Minecraft déjà patché
Et justement, je vous annonce qu'aujourd'hui le launcher FR-Minecraft a été patché pour corriger le problème, pensez a installer la dernière mise à jour 1.13.1 pour être protégé.

Cette mise à jour apporte également quelques autres changements plus technique mineurs:

• Migration vers le framework .NET 4.6.1, ainsi vous n'avez rien d'autre a installer sous Windows 10 (merci à franswa pour la suggestion)
• Mise à jour des libs (json et zip)
• Suppression des status (car Mojang a fermé son API de status)

Vous pouvez télécharger le launcher FR-Minecraft en cliquant ici.