Protection against CVE-2021-45046, the additional Log4J RCE vulnerability

CVE-2021-44228 に続いて、Log4J の 2 つ目の CVE が、 CVE-2021-45046 として報告されました。CVE-2021-44228 に対して以前にリリースしたルールは、この新しい CVE に対しても同レベルの保護を提供します。 CVE-2021から44228秒Log4JのCVEのかかと上のホットが提出されたCVE-2021から45046以前CVE-2021-44228でリリースしたルール はこの新しいCVEでも同レベルの保護を提供します。

この脆弱性は活発に不正利用されています。Log4J を使用している人は以前に 2.15.0 に更新していても、できるだけ早くバージョン 2.16.0 に更新する必要があります。最新版はLog4J ダウンロードページから入手可能です。

Cloudflare WAFをご利用のお客様には、不正利用された場合の被害を軽減するために3三つのルールを設けています。

ルールID 説明 デフォルトアクション
100514 (旧バージョンの WAF)
6b1cc72dff9746469d4695a474430f12 (新バージョンの WAF)
Log4J のヘッダ ブロック
100515 (旧バージョンの WAF)
0c054d4e4dd5455c9ff8f01efe5abb10 (新バージョンの WAF)
Log4J のボディ ブロック
100516 (旧バージョンの WAF)
5f6744fa026a4638bda5b3d7d5e015dd (新バージョンの WAF)
Log4JのURL ブロック

この軽減措置は、HTTPヘッダー、ボディ、URLをそれぞれ検査する3つのルールに分かれています。

上記のルールに加え、私たちは4つ目のルールをリリースしました。このルールは、誤検知率が高くなりますが、より広範囲の攻撃から保護することができます。そのため、私たちはこのルールを利用できるようにしましたが、デフォルトではブロックに設定されていません。上記のルールに加え4四つ目のルールをリリースしました。このルールはより高い誤検知につながるとはいっても、より広範囲の攻撃から保護することができます。そのため、このルールを利用できるようにしましたが、デフォルトでは  BLOCKに設定されていません。

ルール ID 説明 デフォルトアクション
100517 (旧バージョンの WAF)
2c5413e155db4365befe0df160ba67d7 (新しい WAF)
Log4JアドバンストURI、ヘッダー 無効

影響の対象

Log4jは、Apache Software Foundationが管理するJavaベースの強力なロギングライブラリです。

すべての Log4j 2.0-beta9 から 2.14.1 までのバージョンにおいて、構成、ログメッセージ、およびパラメータで使用される JNDI 機能は、攻撃者に悪用され、リモートでコードが実行される可能性があります。具体的には、ログメッセージやログメッセージのパラメーターを制御できる攻撃者は、メッセージのルックアップ置換が有効な場合、LDAP サーバーから読み込んだ任意のコードを実行できます。

また、バージョン 2.15.0 に見られる CVE-2021-22448 での旧緩和策は、CVE-2021-45046 を保護するには十分ではありませんでした。