cloudflare：防御另一个Log4j RCE漏洞CVE-2021-45046

继CVE-2021-44228之后，已提交了第二个Log4J CVE：CVE-2021-45046。我们之前针对CVE-2021-44228发布的规则针对这个新的CVE提供相同级别的保护。

鉴于此漏洞被广泛地利用，使用Log4J的任何人士都应该尽快更新到版本2.16.0，即使您之前已更新到2.15.0。最新版本可在Log4J下载页面上找到。

使用Cloudflare WAF的客户可遵循三条规则来帮助缓解任何漏洞利用企图：

漏洞风险通过三条规则缓解，分别检查HTTP标头、主体和URL。

除了上述规则之外，我们还发布了第四条规则，用于防御广泛得多的一系列攻击，其代价是更高的误报率。为此，我们提供了该规则，但未将其默认设置为BLOCK：

受影响的对象

Log4J是基于Java的功能强大的组件，提供日志记录库，由Apache Software Foundation维护。

在不低于2.0-beta9且不高于2.14.1的所有Log4J版本中，攻击者可以利用配置、日志消息和参数中的JNDI功能进行远程代码执行。具体来说，攻击者只要能控制日志消息或日志消息参数，就可以在启用消息查找替换的情况下，执行从LDAP服务器加载的任意代码。

此外，之前针对CVE-2021-22448的缓解措施（如2.15.0中所看到的那样）不足以防御CVE-2021-45046。