继 CVE-2021-44228 之后,已提交了第二个 Log4J CVE:CVE-2021-45046。我们之前针对 CVE-2021-44228 发布的规则针对这个新的 CVE 提供相同级别的保护。
鉴于此漏洞被广泛地利用,使用 Log4J 的任何人士都应该尽快更新到版本 2.16.0,即使您之前已更新到 2.15.0。最新版本可在 Log4J 下载页面上找到。
使用 Cloudflare WAF 的客户可遵循三条规则来帮助缓解任何漏洞利用企图:
| 规则 ID | 描述 | 默认操作 |
|---|---|---|
100514 (旧版 WAF)6b1cc72dff9746469d4695a474430f12 (新版 WAF) |
Log4J 标头 | 阻止 |
100515 (旧版 WAF)0c054d4e4dd5455c9ff8f01efe5abb10 (新版 WAF) |
Log4J 主体 | 阻止 |
100516 (旧版 WAF)5f6744fa026a4638bda5b3d7d5e015dd (新版 WAF) |
Log4J URL | 阻止 |
漏洞风险通过三条规则缓解,分别检查 HTTP 标头、主体和 URL。
除了上述规则之外,我们还发布了第四条规则,用于防御广泛得多的一系列攻击,其代价是更高的误报率。为此,我们提供了该规则,但未将其默认设置为 BLOCK:
| 规则 ID | 描述 | 默认操作 |
|---|---|---|
100517 (旧版 WAF)2c5413e155db4365befe0df160ba67d7 (新版 WAF) |
Log4J 高级 URI,标头 | 禁用 |
受影响的对象
Log4J 是基于 Java 的功能强大的组件,提供日志记录库,由 Apache Software Foundation 维护。
在不低于 2.0-beta9 且不高于 2.14.1 的所有 Log4J 版本中,攻击者可以利用配置、日志消息和参数中的 JNDI 功能进行远程代码执行。具体来说,攻击者只要能控制日志消息或日志消息参数,就可以在启用消息查找替换的情况下,执行从 LDAP 服务器加载的任意代码。
此外,之前针对 CVE-2021-22448 的缓解措施(如 2.15.0 中所看到的那样)不足以防御 CVE-2021-45046。