По пятам за CVE-2021-44228 была подана вторая CVE-версия Log4J CVE-2021-45046. Правила, которые мы ранее выпустили для CVE-2021-44228, обеспечивают такой же уровень защиты для этой новой CVE.
Эта уязвимость активно эксплуатируется, и любой, кто использует Log4J, должен обновиться до версии 2.16.0 как можно скорее, даже если вы ранее обновились до 2.15.0. Последнюю версию можно найти на странице загрузки Log4J.
У клиентов, использующих Cloudflare WAF, есть три правила, которые помогут предотвратить любые попытки использования уязвимостей:
| ID правила | Описание | Действие по умолчанию |
|---|---|---|
100514 (устаревший WAF)6b1cc72dff9746469d4695a474430f12 (новый WAF) |
Заголовки Log4J | BLOCK |
100515 (устаревший WAF)0c054d4e4dd5455c9ff8f01efe5abb10 (новый WAF) |
Log4J Body | BLOCK |
100516 (устаревший WAF)5f6744fa026a4638bda5b3d7d5e015dd (новый WAF) |
URL-адрес Log4J | BLOCK |
Меры по снижению риска разделены на три правила, проверяющие заголовки HTTP, тело и URL соответственно.
В дополнение к вышеупомянутым правилам мы также выпустили четвертое правило, которое защитит от гораздо более широкого спектра атак за счет более высокого процента ложных срабатываний. По этой причине мы сделали его доступным, но не установили для него BLOCK по умолчанию:
| ID правила | Описание | Действие по умолчанию |
|---|---|---|
100517 (устаревший WAF)2c5413e155db4365befe0df160ba67d7 (новый WAF) |
Log4J Advanced URI, заголовки | DISABLED |
Кто пострадал
Log4J — это мощная библиотека журналов на основе Java, поддерживаемая Apache Software Foundation.
Во всех версиях Log4J> = 2.0-beta9 и <= 2.14.1 функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, могут использоваться злоумышленником для удаленного выполнения кода. В частности, злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений.
Кроме того, предыдущие средства защиты от CVE-2021-22448, представленные в версии 2.15.0, были недостаточны для защиты от CVE-2021-45046.