Subscribe to receive notifications of new posts:

Log4j RCEの追加脆弱性「CVE-2021-45046」に対する保護機能

12/15/2021

1 min read
Protection against CVE-2021-45046, the additional Log4J RCE vulnerability

CVE-2021-44228 に続いて、Log4J の 2 つ目の CVE が、 CVE-2021-45046 として報告されました。CVE-2021-44228 に対して以前にリリースしたルールは、この新しい CVE に対しても同レベルの保護を提供します。 CVE-2021から44228秒Log4JのCVEのかかと上のホットが提出されたCVE-2021から45046以前CVE-2021-44228でリリースしたルール はこの新しいCVEでも同レベルの保護を提供します。

この脆弱性は活発に不正利用されています。Log4J を使用している人は以前に 2.15.0 に更新していても、できるだけ早くバージョン 2.16.0 に更新する必要があります。最新版はLog4J ダウンロードページから入手可能です。

Cloudflare WAFをご利用のお客様には、不正利用された場合の被害を軽減するために3三つのルールを設けています。

ルールID 説明 デフォルトアクション
100514 (旧バージョンの WAF)
6b1cc72dff9746469d4695a474430f12 (新バージョンの WAF)
Log4J のヘッダ ブロック
100515 (旧バージョンの WAF)
0c054d4e4dd5455c9ff8f01efe5abb10 (新バージョンの WAF)
Log4J のボディ ブロック
100516 (旧バージョンの WAF)
5f6744fa026a4638bda5b3d7d5e015dd (新バージョンの WAF)
Log4JのURL ブロック

この軽減措置は、HTTPヘッダー、ボディ、URLをそれぞれ検査する3つのルールに分かれています。

上記のルールに加え、私たちは4つ目のルールをリリースしました。このルールは、誤検知率が高くなりますが、より広範囲の攻撃から保護することができます。そのため、私たちはこのルールを利用できるようにしましたが、デフォルトではブロックに設定されていません。上記のルールに加え4四つ目のルールをリリースしました。このルールはより高い誤検知につながるとはいっても、より広範囲の攻撃から保護することができます。そのため、このルールを利用できるようにしましたが、デフォルトでは  BLOCKに設定されていません。

ルール ID 説明 デフォルトアクション
100517 (旧バージョンの WAF)
2c5413e155db4365befe0df160ba67d7 (新しい WAF)
Log4JアドバンストURI、ヘッダー 無効

影響の対象

Log4jは、Apache Software Foundationが管理するJavaベースの強力なロギングライブラリです。

すべての Log4j 2.0-beta9 から 2.14.1 までのバージョンにおいて、構成、ログメッセージ、およびパラメータで使用される JNDI 機能は、攻撃者に悪用され、リモートでコードが実行される可能性があります。具体的には、ログメッセージやログメッセージのパラメーターを制御できる攻撃者は、メッセージのルックアップ置換が有効な場合、LDAP サーバーから読み込んだ任意のコードを実行できます。

また、バージョン 2.15.0 に見られる CVE-2021-22448 での旧緩和策は、CVE-2021-45046 を保護するには十分ではありませんでした。

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Log4J (JP)Log4Shell (JP)WAF (JP)日本語Vulnerabilities (JP)

Follow on X

Cloudflare|@cloudflare

Related posts

December 14, 2021 10:23 AM

Log4jの脆弱性からお客様を守るためのCloudflareログのサニタイジング

2021年12月9日、Apache Log4jユーティリティに影響を与えるゼロデイエクスプロイトCVE-2021-44228について世界中に知れ渡りましたCloudflareは直ちにWAFを更新し、この脆弱性から保護するようにしましたが、お客様にはできるだけ早くシステムを更新することをお勧めします...

December 10, 2021 11:39 PM

Log4j 2の脆弱性に対する Cloudflare のセキュリティ対応について

Cloudflare では、新しいセキュリティの脆弱性を確認した場合、すぐにチームを集めて次の2つの異なる質問に答えます。(1) お客様のインフラを確実に保護するために何ができるか、(2) 自社の環境を確実に保護するために何ができるか。昨日(2021年12月9日)...

December 10, 2021 9:18 PM

Log4j2の脆弱性(CVE-2021-44228)について

昨日(2021年12月9日)、一般的なJavaベースのロギングパッケージである Log4j に非常に深刻な脆弱性があることが公表されました。この脆弱性により、攻撃者はリモートサーバー上でコードを実行することができます。いわゆるリモートコード実行(RCE)です。JavaとLog4jは広く使われているため、これは Heartbleed や ShellShock以来、インターネット上で最も深刻な脆弱性の一つと考えられます。...