Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

CVE-2021-44228 - Log4j RCE 零日漏洞缓解

Loading...

更新:所有三条 WAF 规则现在都配置了默认操作 BLOCK。

零日漏洞利用会影响流行的 Apache Log4j 实用工具 (CVE-2021-44228),于 2021 年 12 月 9 日该漏洞被发现,该漏洞会导致远程代码执行 (RCE)。

此漏洞被广泛利用,使用 Log4j 的任何人士都应该尽快更新到版本 2.15.0。最新版本已可在 Log4j 下载页面中下载。

如果无法更新到最新版本,可以从 classpath 删除 JndiLookup 类来缓解该漏洞。此外,在不低于 2.10 的 Log4j 版本上,将系统属性 log4j2.formatMsgNoLookups 或 LOG4J_FORMAT_MSG_NO_LOOKUPS 环境变量设置为 true 可以缓解该问题。

使用 Cloudflare WAF 的客户还可以利用三条新部署的规则来帮助缓解任何漏洞被利用的风险:

规则 ID 描述 默认操作
100514 (旧版 WAF)
6b1cc72dff9746469d4695a474430f12 (新版 WAF)
Log4j 标头 BLOCK
100515 (旧版 WAF)
0c054d4e4dd5455c9ff8f01efe5abb10 (新版 WAF)
Log4j 主体 BLOCK
100516 (旧版 WAF)
5f6744fa026a4638bda5b3d7d5e015dd (新版 WAF)
Log4j URL BLOCK

漏洞风险通过三条规则缓解,分别检查 HTTP 标头、主体和 URL。

我们会继续监控情况,并相应更新任何 WAF 管理的规则。

关于该漏洞的更多详情可在官方 Log4j 安全性页面上找到。

受影响的对象

Log4j 是基于 Java 的功能强大的组件,提供日志记录库,由 Apache Software Foundation 维护。

在不低于 2.0-beta9 且不高于 2.14.1 的所有 Log4j 版本中,攻击者可以利用配置、日志消息和参数中的 JNDI 功能进行远程代码执行。具体来说,攻击者只要能控制日志消息或日志消息参数,就可以在启用消息查找替换的情况下,执行从 LDAP 服务器加载的任意代码。

我们保护 整个企业网络, 帮助客户高效构建 互联网规模应用, 加速一切 网站或互联网应用 , 抵御 DDoS 攻击, 阻止 黑客, 并可帮助您踏上 Zero Trust 之旅

从任何设备访问 1.1.1.1, 使用我们的免费应用加速和保护您的互联网。

如需进一步了解我们帮助构建更美好互联网的使命,请从 这里 开始。如果您正在寻找新的职业方向,请查看 我们的空缺职位

漏洞 (CN) WAF (CN) Log4J (CN) Log4Shell (CN) 简体中文 (CN)

Follow on Twitter

Cloudflare |Cloudflare

Related Posts