Premiers pas avec l'offre gratuite|Contacter le service commercial|

Le blog Cloudflare

Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Protection contre CVE-2021-45046, la vulnérabilité RCE supplémentaire de Log4J

2021-12-15

Lecture: 1 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en 日本語, en 한국어 et en 简体中文.

Talonnant de près CVE-2021-44228, une deuxième vulnérabilité CVE de Log4J a été déclarée, CVE-2021-45046. Les règles que nous avons précédemment publiées pour CVE-2021-44228 offrent le même niveau de protection contre cette nouvelle vulnérabilité CVE.

Cette vulnérabilité est activement exploitée et toute personne utilisant Log4J doit effectuer la mise à jour vers la version 2.16.0 dès que possible, même si une mise à jour vers la version 2.15.0 a précédemment été effectuée. La nouvelle version est dès maintenant disponible sur la page de téléchargement de Log4j.

Les clients utilisant le pare-feu WAF de Cloudflare disposent de trois règles pour contribuer à l’atténuation d’éventuelles tentatives d’exploitation de la vulnérabilité :

ID de règle

Description

Action par défaut

100514 (ancien pare-feu WAF)6b1cc72dff9746469d4695a474430f12 (nouveau pare-feu WAF)

En-têtes Log4j

BLOCK

100515 (ancien pare-feu WAF)0c054d4e4dd5455c9ff8f01efe5abb10 (nouveau pare-feu WAF)

Corps de texte Log4j

BLOCK

100516 (ancien pare-feu WAF)5f6744fa026a4638bda5b3d7d5e015dd (nouveau pare-feu WAF)

URL Log4j

BLOCK

Les mesures d’atténuation ont été réparties dans trois règles permettant d’inspecter les en-têtes HTTP, le corps de texte et l’URL, respectivement.

En plus des règles ci-dessus, nous avons également publié une quatrième règle offrant une protection contre un nombre considérablement supérieur d’attaques, au prix d’un taux de faux positifs plus élevé. Pour cette raison, nous l’avons mise à disposition, mais ne l’avons pas définie sur BLOCK par défaut :

ID de règle

Description

Action par défaut

100517 (ancien pare-feu WAF)2c5413e155db4365befe0df160ba67d7 (nouveau pare-feu WAF)

Log4J Advanced URI, Headers

DISABLED

Qui est concerné ?

Log4J est une puissante bibliothèque de journalisation Java, gérée par Apache Software Foundation.

Dans toutes les versions >= 2.0-beta9 et <= 2.14.1 de Log4J, les fonctionnalités JNDI utilisées dans la configuration, les messages de fichier journal et les paramètres peuvent être exploitées par un acteur malveillant pour lancer une exécution de code à distance. Plus précisément, un acteur malveillant pouvant contrôler les messages de fichier journal ou les paramètres des messages de fichier journal peut exécuter du code arbitraire chargé depuis des serveurs LDAP lorsque la substitution de recherche de messages est activée.

Par ailleurs, les atténuations précédentes pour CVE-2021-22448, telle qu’elle a été observée dans la version 2.15.0, n’étaient pas adéquates pour offrir une protection contre CVE-2021-45046.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Log4J (FR)Log4Shell (FR)WAF RulesSécuritéVulnerabilities

Suivre sur X

Cloudflare|@cloudflare

Publications associées

05 novembre 2025 à 14:00

How Workers VPC Services connects to your regional private networks from anywhere in the world

Workers VPC Services enter open beta today. We look under the hood to see how Workers VPC connects your globally-deployed Workers to your regional private networks by using Cloudflare's global network, while abstracting cross-cloud networking complexity....

Cloudflare Workers, Workers VPC, Cloudflare Tunnel, Network, Hybrid Cloud, Sécurité, VPC, Private Network 

29 octobre 2025 à 13:00

One IP address, many users: detecting CGNAT to reduce collateral effects

IPv4 scarcity drives widespread use of Carrier-Grade Network Address Translation, a practice in ISPs and mobile networks that places many users behind each IP address, along with their collected activity and volumes of traffic. We introduce the method we’ve developed to detect large-scale IP sharing globally and mitigate the issues that result. ...

Recherche, Pare-feu WAF, Pare-feu d'applications web, Better Internet, Sécurité, Bots, IPv4, Services réseau 

28 octobre 2025 à 13:00

Keeping the Internet fast and secure: introducing Merkle Tree Certificates

Cloudflare is launching an experiment with Chrome to evaluate fast, scalable, and quantum-ready Merkle Tree Certificates, all without degrading performance or changing WebPKI trust relationships....

Le post-quantique, Recherche, Cryptographie, Sécurité, TLS, Chrome, Google, IETF, Transparency, Rust, Open Source, Cloudflare Workers