cloudflare：防御另一個Log4j RCE漏洞CVE-2021-45046

繼CVE-2021-44228之后，已提交了第二個Log4J CVE：CVE-2021-45046。我們之前針對CVE-2021-44228發(fā)布的規(guī)則針對這個新的CVE提供相同級別的保護。

鑒于此漏洞被廣泛地利用，使用Log4J的任何人士都應該盡快更新到版本2.16.0，即使您之前已更新到2.15.0。最新版本可在Log4J下載頁面上找到。

使用Cloudflare WAF的客戶可遵循三條規(guī)則來幫助緩解任何漏洞利用企圖：

漏洞風險通過三條規(guī)則緩解，分別檢查HTTP標頭、主體和URL。

除了上述規(guī)則之外，我們還發(fā)布了第四條規(guī)則，用于防御廣泛得多的一系列攻擊，其代價是更高的誤報率。為此，我們提供了該規(guī)則，但未將其默認設置為BLOCK：

受影響的對象

Log4J是基于Java的功能強大的組件，提供日志記錄庫，由Apache Software Foundation維護。

在不低于2.0-beta9且不高于2.14.1的所有Log4J版本中，攻擊者可以利用配置、日志消息和參數(shù)中的JNDI功能進行遠程代碼執(zhí)行。具體來說，攻擊者只要能控制日志消息或日志消息參數(shù)，就可以在啟用消息查找替換的情況下，執(zhí)行從LDAP服務器加載的任意代碼。

此外，之前針對CVE-2021-22448的緩解措施（如2.15.0中所看到的那樣）不足以防御CVE-2021-45046。