緊接著 CVE-2021-44228 之後,隨之發佈了第二個 Log4J CVE──CVE-2021-45046。對於這個新的 CVE,我們先前針對 CVE-2021-44228 發佈的規則也能夠提供相同等級的防護。
該漏洞目前正被大肆利用,因此所有使用 Log4J 的人都應盡快更新至版本 2.16.0,即使先前已更新到 2.15.0 亦然。您可以在可在 Log4J 下載頁面找到最新版本。
使用 Cloudflare WAF 的客戶有三條規則來幫助緩解任何漏洞利用嘗試:
| 規則 ID | 描述 | 預設動作 |
|---|---|---|
100514 (舊版 WAF)6b1cc72dff9746469d4695a474430f12 (新版 WAF) |
Log4J Headers | BLOCK |
100515 (舊版 WAF)0c054d4e4dd5455c9ff8f01efe5abb10 (新版 WAF) |
Log4J Body | BLOCK |
100516 (舊版 WAF)5f6744fa026a4638bda5b3d7d5e015dd (新版 WAF) |
Log4J URL | BLOCK |
該緩解被拆分為三條規則,分別檢查 HTTP 標頭、內文和 URL 。
除了上述規則以外,我們也發佈了第四條規則,能夠防範更大範圍的攻擊,但代價是誤判率較高。因此我們已提供該規則,但並未預設將其設定為 BLOCK:
| 規則 ID | 描述 | 預設動作 |
|---|---|---|
100517 (舊版 WAF)2c5413e155db4365befe0df160ba67d7 (新版 WAF) |
Log4J 進階 URI、標頭 | DISABLED |
誰受到影響
Log4J 是一個強大的 Java,基於 Apache Software Foundation 維護的記錄庫。
在 >= 2.0-beta9 且 <= 2.14.1 的所有 Log4J 版本中,設定、記錄訊息和參數中使用的 JNDI 功能可能被攻擊者利用來執行遠端代碼。尤其是,當訊息查詢替代啟用時,能夠控制記錄訊息或記錄訊息參數的攻擊者可以執行從 LDAP 伺服器載入的任意代碼。
此外,先前在版本 2.15.0 中提供的 CVE-2021-22448 緩解方法並不足以防範 CVE-2021-45046。