Schutz gegen CVE-2021-45046, die zusätzliche Log4j RCE-Sicherheitslücke

Nach CVE-2021-44228 wurde ein zweites Log4J-CEVE eingereicht: CVE-2021-45046. Die Regeln, die wir zuvor für CVE-2021-44228 veröffentlicht haben, bieten das gleiche Maß an Schutz für dieses neue CVE.

Diese Sicherheitslücke wird aktiv ausgenutzt und jeder, der Log4J benutzt, sollte so schnell wie möglich auf Version 2.16.0 aktualisieren, auch wenn Sie zuvor auf 2.15.0 aktualisiert haben. Die neueste Version finden Sie auf der Log4J Download-Seite.

Kunden, die die Cloudflare WAF nutzen, verfügen über drei Regeln, die dazu beitragen, Exploit-Versuche abzuwehren:

Regel-ID Beschreibung Voreinstellung
100514 (alte WAF)
6b1cc72dff9746469d4695a474430f12 (neue WAF)
Log4j-Header Sperren
100515 (alte WAF)
0c054d4e4dd5455c9ff8f01efe5abb10 (neue WAF)
Log4j-Body Sperren
100516 (alte WAF)
5f6744fa026a4638bda5b3d7d5e015dd (neue WAF)
Log4j-URL Sperren

Die Abwehr wurde auf drei Regeln verteilt, die jeweils den HTTP-Header, den HTTP-Body und die HTTP-URL überprüfen.

Zusätzlich zu den oben genannten Regeln haben wir eine vierte Regel veröffentlicht, die gegen eine viel größere Anzahl von Angriffen schützt, allerdings auf Kosten einer höheren False-Positive-Rate. Aus diesem Grund haben wir sie verfügbar gemacht, aber nicht standardmäßig auf BLOCK gesetzt:

Regel-ID Beschreibung Voreinstellung
100514 (alte WAF)
2c5413e155db4365befe0df160ba67d7 (neue WAF)
Log4J Advanced URI, Headers Deaktiviert

Wer ist betroffen?

Log4j ist eine leistungsstarke Java-basierte Protokollbibliothek, die von der Apache Software Foundation gepflegt wird.

In allen Log4j-Versionen von einschließlich 2.0-beta9 bis 2.14.1 können JNDI-Funktionen, die bei der Konfiguration, in Protokollnachrichten und in Parametern verwendet werden, von Angreifern für eine Remote Code-Ausführung ausgenutzt werden. Konkret kann ein Angreifer, der in der Lage ist, Protokollnachrichten oder Protokollnachrichtenparameter zu kontrollieren, beliebigen von LDAP-Servern geladenen Code ausführen, wenn das Ersetzen der Nachrichtensuchen (Message Lookup Substitution) aktiviert ist.

Darüber hinaus waren die bisherigen Abhilfemaßnahmen für CVE-2021-22448, wie sie in Version 2.15.0 zu sehen sind, nicht ausreichend, um vor CVE-2021-45046 zu schützen.