TG客服:@SSjiejie — 官方频道:@SSwangluo
三生网络 © 2009-2023 超15年出海经验,跨境项目专家
继CVE-2021-44228之后,已提交了第二个Log4J CVE:CVE-2021-45046。我们之前针对CVE-2021-44228发布的规则针对这个新的CVE提供相同级别的保护。
鉴于此漏洞被广泛地利用,使用Log4J的任何人士都应该尽快更新到版本2.16.0,即使您之前已更新到2.15.0。最新版本可在Log4J下载页面上找到。
使用Cloudflare WAF的客户可遵循三条规则来帮助缓解任何漏洞利用企图:
漏洞风险通过三条规则缓解,分别检查HTTP标头、主体和URL。
除了上述规则之外,我们还发布了第四条规则,用于防御广泛得多的一系列攻击,其代价是更高的误报率。为此,我们提供了该规则,但未将其默认设置为BLOCK:
受影响的对象
Log4J是基于Java的功能强大的组件,提供日志记录库,由Apache Software Foundation维护。
在不低于2.0-beta9且不高于2.14.1的所有Log4J版本中,攻击者可以利用配置、日志消息和参数中的JNDI功能进行远程代码执行。具体来说,攻击者只要能控制日志消息或日志消息参数,就可以在启用消息查找替换的情况下,执行从LDAP服务器加载的任意代码。
此外,之前针对CVE-2021-22448的缓解措施(如2.15.0中所看到的那样)不足以防御CVE-2021-45046。
TG客服:@SSjiejie — 官方频道:@SSwangluo
三生网络 © 2009-2023 超15年出海经验,跨境项目专家