Le 9 décembre 2021, un exploit a été découvert dans l'une des bibliothèques de journalisation utilisées par les jarres du serveur Minecraft. Il s'agit d'une vulnérabilité de type RCE (Remote Code Execution), qui est donc considérée comme grave et pour laquelle il est conseillé à tous de se mettre à jour dès que possible.
Un correctif pour Paper a été publié par l'équipe PaperMC et a ensuite été fusionné par les différents forks de Paper. D'autres jarres de serveurs ont également publié des builds implémentant un correctif.
Le 10 décembre 2021, Mojang a publié un correctif pour l'exploit sur les clients Minecraft et des étapes pour le corriger sur les anciennes versions des serveurs Minecraft. Suivez les étapes décrites ci-dessous pour corriger l'exploit.
Les clients étaient également vulnérables à cet exploit, mais Mojang a déjà publié un correctif qui s'applique à toutes les versions de Minecraft - Il suffit de fermer toutes les instances du jeu et du lanceur Minecraft en cours d'exécution et de redémarrer le lanceur - La version corrigée se téléchargera automatiquement.
Il est déconseillé de jouer sur des serveurs qui n'ont pas été mis à jour avec la dernière version de Minecraft, car ils peuvent être vulnérables à l'exploit. Ceci est critique pour les clients moddés qui n'ont pas reçu le correctif que Mojang a publié. Veillez donc à mettre à jour votre click et à vérifier auprès d'eux s'ils ont publié un correctif pour l'exploit.
Nous avons créé ce document pour vous guider à travers les étapes de la correction de l'exploit. Nous vous recommandons d'appliquer le drapeau si nécessaire pour votre version Minecraft et de mettre à jour votre jar de serveur avec la dernière version disponible, en vous assurant que cette version inclut un correctif pour l'exploit (cela devrait être indiqué dans le journal des modifications). Les étapes pour faire ces deux choses sont listées ci-dessous.
Si vous avez besoin d'aide pour effectuer l'une ou l'autre de ces opérations, veuillez vous référer à notre canal #support-chat sur notre Discord serveur.
Si votre serveur fonctionne :
Serveurs Forge
Forge a publié un article complet détaillant les étapes à suivre pour corriger l'exploit, soit en mettant à jour vers la dernière version, soit en appliquant un drapeau. Vous pouvez lire plus ici.
Serveurs 1.18 (Vanilla, Spigot, Paper, Purpur et autres forks)
1.18: Mettez à jour vers la version 1.18.1, si possible. Sinon, utilisez la même approche que pour la version 1.17.x :
Lien vers PaperMC 1.18.1 .jar avec la correction de l'exploit :
Paper 1.18.1 - Choisissez la dernière version sur le site web et téléchargez-la : PaperMC 1.18.1 Builds
1.17 - Serveurs 1.17.1
Nous avons déjà appliqué le correctif à tous les serveurs fonctionnant avec la version 1.17. Nous vous recommandons néanmoins d'effectuer une mise à jour vers la dernière version de 1.17.1 ou 1.18.1.
Liens vers les jarres PaperMC 1.17.1 avec la correction de l'exploit :
Paper 1.17.1 - Choisissez la dernière version sur le site web et téléchargez-la : PaperMC 1.17.1 Builds
Si vous mettez à jour vers l'une des versions listées ci-dessus, vous n'avez pas besoin d'appliquer le correctif de drapeau que nous listons ci-dessous.
Si vous souhaitez tout de même appliquer la correction, suivez les étapes ci-dessous :
Mojang vous recommande d'ajouter le drapeau -Dlog4j2.formatMsgNoLookups=true à votre commande de démarrage. Le 9 décembre 2021, l'équipe Godlike.host a ajouté ce drapeau à tous les serveurs Minecraft, il vous suffit donc de vous assurer que vous avez ce drapeau dans votre commande de démarrage. Assurez-vous également de redémarrer votre serveur, si vous ne l'avez pas fait récemment, car le redémarrage du serveur applique l'indicateur au démarrage. Pour vérifier que vous avez le drapeau, allez simplement sur Minecraft panel, puis allez sur l'onglet startup et assurez-vous que le drapeau est dans la commande de démarrage, il devrait être avant le texte -jar. Il est également recommandé de mettre à jour vers la dernière version de 1.17.1 fournie par votre jar de serveur. Paper, Fabric et d'autres jar de serveur ont publié des versions 1.17.1 incluant la correction de l'exploit. Reportez-vous à la section sur la mise à jour à la fin de ce document pour plus d'informations.
Serveurs 1.12 - 1.16.5
PaperMC a publié des bocaux contenant le correctif de l'exploit. Ces bocaux ne sont pas sur leur site web, voici les liens directs vers eux (Vous pouvez également les trouver sur notre sélecteur de type de serveur dans l'onglet des paramètres) :
Déclaration officielle de PaperMC : Toutes les anciennes versions ne sont pas prises en charge. Il peut y avoir des problèmes de console ou autres sur certains serveurs. Téléchargez et utilisez à vos risques et périls. Liens vers les anciennes versions :
Paper 1.15.2 Build #392 - Cliquez ici pour télécharger
Paper 1.14.4 Build #244 - Cliquez ici pour télécharger
Paper 1.13.2 Build #656 - Cliquez ici pour télécharger
Paper 1.12.2 Build #1619 - Cliquez ici pour télécharger
Si vous mettez à jour vers l'une des versions listées ci-dessus, vous n'avez pas besoin d'appliquer le correctif de drapeau que nous listons ci-dessous.
Si vous souhaitez tout de même appliquer la correction, suivez les étapes indiquées ci-dessous :
Si, pour une raison quelconque, votre serveur ne démarre pas après avoir appliqué le correctif ou si vous souhaitez supprimer le correctif, cliquez sur le bouton Supprimer.
Si, pour une raison quelconque, vous devez le faire manuellement, suivez les étapes ci-dessous :
Téléchargez ce fichier dans le répertoire personnel où tourne votre serveur. Pour ce faire, vous pouvez aller à l'URL et cela ouvrira un fichier .xml sur votre navigateur, vous devrez faire un clic droit puis cliquer sur 'Enregistrer sous' puis enregistrer le fichier .xml. Vous pouvez également vous rendre dans le gestionnaire de fichiers sur notre panneau Minecraft, cliquer sur le bouton Télécharger à partir d'une URL et coller l'URL suivante : https://launcher.mojang.com/v1/objects/02937d122c86ce73319ef9975b58896fc1b491d1/log4j2_112-116.xml et cela téléchargera le fichier dans le répertoire personnel de votre serveur. Une fois que le fichier est sur le serveur, allez dans l'onglet startup sur le panneau Minecraft et ajoutez les arguments JVM suivants à vos drapeaux de démarrage. Pour ce faire, il suffit d'aller dans l'onglet de démarrage et d'ajouter les arguments JVM suivants dans la boîte des drapeaux de démarrage : -Dlog4j.configurationFile=log4j2_112-116.xml. Après avoir ajouté les arguments JVM, redémarrez votre serveur. Il est également recommandé de mettre à jour votre serveur avec la dernière version fournie par votre jar. La plupart des développeurs ont exprimé leur intention de ne pas mettre à jour les versions les plus anciennes des jars de serveur pour inclure la correction de l'exploit, mais Paper a déjà publié une nouvelle version de 1.16.5 (Build #792) qui inclut la correction du bogue. Reportez-vous à la section sur la mise à jour à la fin de ce document pour plus d'informations.
Serveurs 1.7 - 1.11.2
PaperMC a publié des bocaux contenant la correction de l'exploit. Ces jars ne sont pas sur leur site web, mais voici des liens directs vers eux (Vous pouvez également les trouver sur notre sélecteur de type de serveur dans l'onglet des paramètres).
Déclaration officielle de PaperMC : Toutes les anciennes versions ne sont pas supportées. Il peut y avoir des problèmes de console ou d'autres problèmes sur certains serveurs. Téléchargez et utilisez à vos risques et périls. Liens vers les anciennes versions :
Paper 1.10.2 Build #917 - Cliquez ici pour télécharger
Paper 1.9.4 Build #774 - Cliquez ici pour télécharger
Paper 1.8.8 Build #444 - Cliquez ici pour télécharger
Si vous mettez à jour vers l'une des versions listées ci-dessus, vous n'avez pas besoin d'appliquer le correctif de drapeau que nous listons ci-dessous.
Si vous souhaitez tout de même l'appliquer (d'après nos tests, ces drapeaux ne fonctionnent pas avec Paper 1.7 - 1.11.2 et votre serveur ne démarrera pas si vous les utilisez), vous pouvez suivre les étapes suivantes :
Téléchargez ce fichier dans le répertoire personnel où tourne votre serveur. Pour ce faire, vous pouvez aller à l'URL et cela ouvrira un fichier .xml sur votre navigateur, vous devrez faire un clic droit puis cliquer sur 'Enregistrer sous' puis enregistrer le fichier .xml. Vous pouvez également vous rendre dans le gestionnaire de fichiers sur notre panneau Minecraft, cliquer sur le bouton Télécharger à partir d'une URL et coller l'URL suivante : https://launcher.mojang.com/v1/objects/dd2b723346a8dcd48e7f4d245f6bf09e98db9696/log4j2_17-111.xml et cela téléchargera le fichier dans le répertoire personnel de votre serveur. Une fois que le fichier est sur le serveur, allez dans l'onglet startup sur le panneau Minecraft et ajoutez les arguments JVM suivants à vos drapeaux de démarrage. Pour ce faire, il suffit d'aller dans l'onglet de démarrage et d'ajouter les arguments JVM suivants dans la boîte des drapeaux de démarrage : -Dlog4j.configurationFile=log4j2_17-111.xml. Après avoir ajouté les arguments JVM, redémarrez votre serveur.
Serveurs 1.6 et inférieurs
Les serveurs fonctionnant avec les versions 1.6 et inférieures ne sont pas concernés par cet exploit.
Ajout de l'indicateur à la section des indicateurs de démarrage
Exemple d'ajout de l'indicateur à votre commande de démarrage (voir le texte surligné). N'oubliez pas que vous devez ajouter l'indicateur approprié correspondant à la version de votre serveur Minecraft.
IMPORTANT
Par défaut, cette option est définie pour tous les serveurs et peut ne pas être affichée en tant que xms et xmx.
Mise à jour de votre jar de serveur vers la dernière version
:white_check_mark : Paper - Télécharger ici - La correction de l'exploit est dans la Build #64 ou plus récente pour MC 1.18 / Build #398 ou plus récente pour MC 1.17.1. Paper a également reporté le correctif sur MC 1.16.5 avec le build #792 qui peut être trouvé ici. Nous recommandons l'utilisation de la version #399 ou plus récente pour MC 1.17.1 et de la version #67 ou plus récente pour MC 1.18-1.18.1, ces versions sont celles qui incluent une bibliothèque Log4J mise à jour (la bibliothèque qui avait l'exploit sur les anciennes versions).
Les versions de PaperMC qui incluent la correction de l'exploit :
Paper 1.18.1 - Choisissez la dernière version sur le site web et téléchargez-la : PaperMC 1.18.1 Builds
Paper 1.17.1 - Choisissez la dernière version sur le site web et téléchargez-la : PaperMC 1.17.1 Builds
Paper 1.15.2 Build #392 - Cliquez ici pour télécharger
Paper 1.14.4 Build #244 - Cliquez ici pour télécharger
Paper 1.13.2 Build #656 - Cliquez ici pour télécharger
Paper 1.12.2 Build #1619 - Cliquez ici pour télécharger
Document 1.11.2 Build #1105 - Cliquez ici pour télécharger
Paper 1.10.2 Build #917 - Cliquez ici pour télécharger
Paper 1.9.4 Build #774 - Cliquez ici pour télécharger
Paper 1.8.8 Build #444 - Cliquez ici pour télécharger
:white_check_mark : Purpur - Télécharger ici - Le correctif est dans la version #1432 ou plus récente pour MC 1.18.
:white_check_mark : Waterfall - Télécharger ici - Le correctif se trouve dans la version #467 ou plus récente. Nous recommandons l'utilisation de la version #468 ou plus récente qui inclut une bibliothèque Log4J mise à jour (la bibliothèque qui avait l'exploit sur les anciennes versions).
:white_check_mark : Velocity - Télécharger ici - La correction de l'exploit est dans le build #97 ou plus récent. Nous recommandons l'utilisation de la version #98 ou plus récente qui inclut une bibliothèque Log4J mise à jour (la bibliothèque qui avait l'exploit sur les versions plus anciennes).
:white_check_mark : Forge - Télécharger ici - Forge a mis à jour les versions les plus populaires pour appliquer la correction de l'exploit. Les versions suivantes de Forge (ou les versions plus récentes) sont celles qui contiennent le correctif :
Forge a publié un article détaillant les étapes à suivre pour corriger l'exploit, soit en mettant à jour vers la dernière version, soit en appliquant un drapeau. Pour en savoir plus, cliquez ici.
Vous devriez être en mesure de télécharger l'un des jars ci-dessus (assurez-vous de télécharger une version avec le correctif), d'exécuter le .jar sur votre machine, de cliquer sur create server files, puis d'archiver/zip tous les fichiers du serveur qui ont été générés et de les télécharger sur votre serveur.
Vous pouvez également mettre à jour votre serveur en utilisant notre sélecteur de type de serveur. Allez simplement sur la page des paramètres de votre serveur, puis sélectionnez le jar que vous voulez télécharger et sélectionnez la dernière version. Assurez-vous de faire référence au numéro de build indiqué ci-dessus afin de savoir que vous téléchargez un build qui inclut la correction. Vous pouvez également utiliser le bouton Mettre à jour vers la dernière version si vous avez utilisé notre sélecteur de type de serveur dans le passé.
Il estrecommandé d'effectuer une sauvegarde du serveur avant de le mettre à jour ou d'effectuer des changements. Consultez notre guide sur le fonctionnement et l'utilisation des sauvegardes.
Comment vérifier si votre serveur est vulnérable
Selon l'équipe PaperMC : Pour tester si le correctif fonctionne, exécutez say ${date:YYYY} dans la console, il doit sortir la même commande et non 2021. Si vous obtenez 2021, vous n'avez pas corrigé le problème correctement.
Si vous avez besoin d'aide pour mettre à jour votre serveur, veuillez vous référer à notre guide de mise à jour et au #open-ticket.
Notez l'article sur une échelle de 5 points
Soyez les premiers à apprécier cette nouvelle !
Vous avez trouvé une erreur? Mettez-la en évidence et cliquez Ctrl + Enter pour nous en informer.