cloudflare：防御另一個(gè)Log4j RCE漏洞CVE-2021-45046

繼CVE-2021-44228之后，已提交了第二個(gè)Log4J CVE：CVE-2021-45046。我們之前針對(duì)CVE-2021-44228發(fā)布的規(guī)則針對(duì)這個(gè)新的CVE提供相同級(jí)別的保護(hù)。

鑒于此漏洞被廣泛地利用，使用Log4J的任何人士都應(yīng)該盡快更新到版本2.16.0，即使您之前已更新到2.15.0。最新版本可在Log4J下載頁(yè)面上找到。

使用Cloudflare WAF的客戶可遵循三條規(guī)則來(lái)幫助緩解任何漏洞利用企圖：

漏洞風(fēng)險(xiǎn)通過(guò)三條規(guī)則緩解，分別檢查HTTP標(biāo)頭、主體和URL。

除了上述規(guī)則之外，我們還發(fā)布了第四條規(guī)則，用于防御廣泛得多的一系列攻擊，其代價(jià)是更高的誤報(bào)率。為此，我們提供了該規(guī)則，但未將其默認(rèn)設(shè)置為BLOCK：

受影響的對(duì)象

Log4J是基于Java的功能強(qiáng)大的組件，提供日志記錄庫(kù)，由Apache Software Foundation維護(hù)。

在不低于2.0-beta9且不高于2.14.1的所有Log4J版本中，攻擊者可以利用配置、日志消息和參數(shù)中的JNDI功能進(jìn)行遠(yuǎn)程代碼執(zhí)行。具體來(lái)說(shuō)，攻擊者只要能控制日志消息或日志消息參數(shù)，就可以在啟用消息查找替換的情況下，執(zhí)行從LDAP服務(wù)器加載的任意代碼。

此外，之前針對(duì)CVE-2021-22448的緩解措施（如2.15.0中所看到的那樣）不足以防御CVE-2021-45046。