CVE-2021-44228 に続いて、Log4J の 2 つ目の CVE が、 CVE-2021-45046 として報告されました。CVE-2021-44228 に対して以前にリリースしたルールは、この新しい CVE に対しても同レベルの保護を提供します。 CVE-2021から44228秒Log4JのCVEのかかと上のホットが提出されたCVE-2021から45046。以前CVE-2021-44228でリリースしたルール はこの新しいCVEでも同レベルの保護を提供します。
この脆弱性は活発に不正利用されています。Log4J を使用している人は以前に 2.15.0 に更新していても、できるだけ早くバージョン 2.16.0 に更新する必要があります。最新版はLog4J ダウンロードページから入手可能です。
Cloudflare WAFをご利用のお客様には、不正利用された場合の被害を軽減するために3三つのルールを設けています。
| ルールID | 説明 | デフォルトアクション |
|---|---|---|
100514 (旧バージョンの WAF)6b1cc72dff9746469d4695a474430f12 (新バージョンの WAF) |
Log4J のヘッダ | ブロック |
100515 (旧バージョンの WAF)0c054d4e4dd5455c9ff8f01efe5abb10 (新バージョンの WAF) |
Log4J のボディ | ブロック |
100516 (旧バージョンの WAF)5f6744fa026a4638bda5b3d7d5e015dd (新バージョンの WAF) |
Log4JのURL | ブロック |
この軽減措置は、HTTPヘッダー、ボディ、URLをそれぞれ検査する3つのルールに分かれています。
上記のルールに加え、私たちは4つ目のルールをリリースしました。このルールは、誤検知率が高くなりますが、より広範囲の攻撃から保護することができます。そのため、私たちはこのルールを利用できるようにしましたが、デフォルトではブロックに設定されていません。上記のルールに加え4四つ目のルールをリリースしました。このルールはより高い誤検知につながるとはいっても、より広範囲の攻撃から保護することができます。そのため、このルールを利用できるようにしましたが、デフォルトでは BLOCKに設定されていません。
| ルール ID | 説明 | デフォルトアクション |
|---|---|---|
100517 (旧バージョンの WAF)2c5413e155db4365befe0df160ba67d7 (新しい WAF) |
Log4JアドバンストURI、ヘッダー | 無効 |
影響の対象
Log4jは、Apache Software Foundationが管理するJavaベースの強力なロギングライブラリです。
すべての Log4j 2.0-beta9 から 2.14.1 までのバージョンにおいて、構成、ログメッセージ、およびパラメータで使用される JNDI 機能は、攻撃者に悪用され、リモートでコードが実行される可能性があります。具体的には、ログメッセージやログメッセージのパラメーターを制御できる攻撃者は、メッセージのルックアップ置換が有効な場合、LDAP サーバーから読み込んだ任意のコードを実行できます。
また、バージョン 2.15.0 に見られる CVE-2021-22448 での旧緩和策は、CVE-2021-45046 を保護するには十分ではありませんでした。