Nach CVE-2021-44228 wurde ein zweites Log4J-CEVE eingereicht: CVE-2021-45046. Die Regeln, die wir zuvor für CVE-2021-44228 veröffentlicht haben, bieten das gleiche Maß an Schutz für dieses neue CVE.
Diese Sicherheitslücke wird aktiv ausgenutzt und jeder, der Log4J benutzt, sollte so schnell wie möglich auf Version 2.16.0 aktualisieren, auch wenn Sie zuvor auf 2.15.0 aktualisiert haben. Die neueste Version finden Sie auf der Log4J Download-Seite.
Kunden, die die Cloudflare WAF nutzen, verfügen über drei Regeln, die dazu beitragen, Exploit-Versuche abzuwehren:
Regel-ID
Beschreibung
Voreinstellung
100514
(alte WAF)6b1cc72dff9746469d4695a474430f12
(neue WAF)
Log4j-Header
Sperren
100515
(alte WAF)0c054d4e4dd5455c9ff8f01efe5abb10
(neue WAF)
Log4j-Body
Sperren
100516
(alte WAF)5f6744fa026a4638bda5b3d7d5e015dd
(neue WAF)
Log4j-URL
Sperren
Die Abwehr wurde auf drei Regeln verteilt, die jeweils den HTTP-Header, den HTTP-Body und die HTTP-URL überprüfen.
Zusätzlich zu den oben genannten Regeln haben wir eine vierte Regel veröffentlicht, die gegen eine viel größere Anzahl von Angriffen schützt, allerdings auf Kosten einer höheren False-Positive-Rate. Aus diesem Grund haben wir sie verfügbar gemacht, aber nicht standardmäßig auf BLOCK
gesetzt:
Regel-ID
Beschreibung
Voreinstellung
100514
(alte WAF)2c5413e155db4365befe0df160ba67d7
(neue WAF)
Log4J Advanced URI, Headers
Deaktiviert
Wer ist betroffen?
Log4j ist eine leistungsstarke Java-basierte Protokollbibliothek, die von der Apache Software Foundation gepflegt wird.
In allen Log4j-Versionen von einschließlich 2.0-beta9 bis 2.14.1 können JNDI-Funktionen, die bei der Konfiguration, in Protokollnachrichten und in Parametern verwendet werden, von Angreifern für eine Remote Code-Ausführung ausgenutzt werden. Konkret kann ein Angreifer, der in der Lage ist, Protokollnachrichten oder Protokollnachrichtenparameter zu kontrollieren, beliebigen von LDAP-Servern geladenen Code ausführen, wenn das Ersetzen der Nachrichtensuchen (Message Lookup Substitution) aktiviert ist.
Darüber hinaus waren die bisherigen Abhilfemaßnahmen für CVE-2021-22448, wie sie in Version 2.15.0 zu sehen sind, nicht ausreichend, um vor CVE-2021-45046 zu schützen.