Amazon 托管规则变更日志

本节列出了自 2019 年 11 月发布 Amazon WAF 以来对 Amazon 托管规则的更改。

注意

此变更日志报告了对的 Amazon 托管规则中的规则和规则组的 Amazon WAF更改。

对于IP 声誉规则组，此变更日志报告规则和规则组的更改，并报告规则使用的 IP 地址列表来源的重大变化。由于 IP 地址列表的动态性质，它不会报告 IP 地址列表本身的更改。如果您对 IP 地址列表有疑问，请联系您的客户经理或在 Cent Amazon Web Services Support er 提交案例。

规则组和规则	描述	日期
Amazon IP 声誉列表托管规则组 `AWSManagedIPReputationList`	更新了 IP 信誉列表的来源，以改进对积极参与恶意活动的地址的识别并减少误报。此更新不涉及新版本，因为此规则组未进行版本控制。	2024-03-13
已知错误输入托管规则组	发布了此规则组的静态版本 1.21。添加了签名以改进检测并减少误报。	2023-12-16
已知错误输入托管规则组 `ExploitablePaths_URIPATH`	发布了此规则组的静态版本 1.20。更新了 `ExploitablePaths_URIPATH` 规则，以增加对与“Atlassian Confluence CVE-2023-22518 授权不当”漏洞相匹配的请求的检测。此漏洞会影响所有版本的 Confluence 数据中心和服务器。有关更多信息，请参阅 NIST：国家漏洞数据库：CVE-2023-22518 详细信息。	2023-12-14
核心规则集 (CRS) 托管规则组 `CrossSiteScripting*`	发布了此规则组的静态版本 1.11。将签名添加到所有跨站点脚本规则中，以改进检测并减少误报。	2023-12-06
Amazon WAF 机器人控制规则组新标签：`awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low`	将协调活动低标签添加到规则组的目标保护级别标签中。此标签未与任何规则关联。此标签是对中高级规则和标签的补充。	2023-12-05
机器人控制功能标签标签：`awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`	向规则组添加了一个信号标签，指示检测到有助于自动化的浏览器扩展。此标签并非特定于单个规则。	2023-11-14
核心规则集 (CRS) 托管规则组 `EC2MetaDataSSRF_QUERYARGUMENTS`	发布了此规则组的静态版本 1.10。更新了一条规则，以改进检测并减少误报。	2023-11-02
核心规则集 (CRS) 托管规则组 `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`	发布了此规则组的静态版本 1.9。更新了规则，以改进检测并减少误报。	2023-10-30
POSIX 操作系统托管规则组 `UNIXShellCommandsVariables_QUERYARGUMENTS`	发布了此规则组的静态版本 2.1。更新了查询参数规则，以改进检测。	2023-10-12
核心规则集 (CRS) 托管规则组 `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`	发布了此规则组的静态版本 1.8。更新了规则，以改进检测。	2023-10-11
已知错误输入托管规则组 `ExploitablePaths_URIPATH`	异常部署：发布了此规则组的静态版本 1.19。更新了默认版本，以使用 1.19。更新了 `ExploitablePaths_URIPATH` 规则，以增加对与 Atlassian Confluence CVE-2023-22515 权限升级漏洞相匹配的请求的检测。此漏洞会影响某些版本的 Atlassian Confluence。有关更多信息，请参阅 NIST：国家漏洞数据库：CVE-2023-22515 详细信息和 Atlassian Support：CVE-2023-22515 常见问题解答。有关部署类型的信息，请参阅 Amazon 托管规则的异常部署。	2023-10-04
已知错误输入托管规则组 `Host_localhost_HEADER` `Log4J` `JavaDeserialization`	异常部署：发布了此规则组的静态版本 1.18。这是此静态版本的快速推出，以适应版本 1.19 的创建和推出。更新了 `Host_localhost_HEADER` 规则以及所有 Log4J 和 Java 反序列化规则，以改进检测。有关部署类型的信息，请参阅 Amazon 托管规则的异常部署。	2023-10-04
Amazon WAF 机器人控制规则组 `TGT_TokenReuseIp` `TGT_ML_CoordinatedActivityMedium` `TGT_ML_CoordinatedActivityHigh`	向规则组添加了带有 Count 操作的规则。令牌重用 IP 规则可检测并计算通过 IP 地址共享的令牌。协调活动规则使用对网站流量的自动机器学习 (ML) 分析来检测与机器人相关的活动。在规则组配置中，您可以选择退出使用 ML。在此版本中，当前使用目标保护级别的客户可以选择使用机器学习。选择退出将禁用协调活动规则。	2023-09-06
Amazon WAF 机器人控制规则组 `CategoryAI`	已将规则 `CategoryAI` 添加到规则组中。	2023-08-30
核心规则集 (CRS) 托管规则组 `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_QUERYARGUMENTS` `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_URIPATH`	发布了此规则组的静态版本 1.7。更新了受限扩展和 EC2 元数据 SSRF 规则，以改进检测并减少误报。	2023-07-26
Amazon WAF 欺诈控制账户创建防作弊 (ACFP) 规则组新规则组中的所有规则	添加了规则组 `AWSManagedRulesACFPRuleSet`。	2023-06-13
Linux 操作系统托管规则组 `LFI_HEADER` `LFI_URIPATH` `LFI_QUERYSTRING`	发布了此规则组的静态版本 2.2。添加了签名，以改进检测。	2023-05-22
核心规则集 (CRS) 托管规则组 `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS` `CrossSiteScripting_COOKIE` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_BODY` `CrossSiteScripting_URIPATH`	发布了此规则组的静态版本 1.6。更新了跨站脚本攻击（XSS）和受限扩展规则，以改进检测并减少误报。	2023-04-28
PHP 应用程序托管规则组更新了 `PHPHighRiskMethodsVariables_BODY` 删除了 `PHPHighRiskMethodsVariables_QUERYARGUMENTS` 新增了 `PHPHighRiskMethodsVariables_QUERYSTRING` 新增了 `PHPHighRiskMethodsVariables_HEADER`	发布了此规则组的静态版本 2.0。添加了签名，以改进所有规则中的检测。已将规则 `PHPHighRiskMethodsVariables_QUERYARGUMENTS` 替换为 `PHPHighRiskMethodsVariables_QUERYSTRING`，它会检查整个查询字符串，而不仅仅是查询参数。添加了规则 `PHPHighRiskMethodsVariables_HEADER`，以扩大覆盖范围，纳入所有标头。更新了以下标签，使其与标准 Amazon 托管规则标签保持一致：旧名称：`PHPHighRiskMethodsVariables_BODY` 新名称：`PHPHighRiskMethodsVariables_Body` 旧名称：`PHPHighRiskMethodsVariables_QUERYARGUMENTS` 新名称：`PHPHighRiskMethodsVariables_QueryString`	2023-02-27
Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组 `VolumetricIpFailedLoginResponseHigh` `VolumetricSessionFailedLoginResponseHigh`	添加了登录响应检查规则，用于受保护的 Amazon CloudFront 分配。这些规则可以阻止来自 IP 地址和客户端会话的新登录尝试，这些地址和客户端会话最近导致的登录尝试失败次数过多。	2023-02-15
核心规则集 (CRS) 托管规则组 `NoUserAgent_HEADER` `CrossSiteScripting_COOKIE` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_BODY` `CrossSiteScripting_URIPATH`	发布了此规则组的静态版本 1.5。更新了跨站脚本攻击（XSS）筛选器，以改进检测。	2023-01-25
Linux 操作系统托管规则组 `LFI_COOKIE`：已删除 `LFI_HEADER`：已添加 `LFI_URIPATH` `LFI_QUERYSTRING`	发布了此规则组的静态版本 2.1。删除了规则 `LFI_COOKIE` 及其标签 `awswaf:managed:aws:linux-os:LFI_Cookie`，并替换为新规则 `LFI_HEADER` 及其标签 `awswaf:managed:aws:linux-os:LFI_Header`。此更改将检查范围扩展到多个标头。已为所有规则添加文本转换和签名，以改进检测。	2022-12-15
核心规则集 (CRS) 托管规则组 `NoUserAgent_HEADER` `CrossSiteScripting_COOKIE` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_BODY` `CrossSiteScripting_URIPATH`	发布了此规则组的静态版本 1.4。已在 `NoUserAgent_HEADER` 中添加文本转换，以删除所有空字节。更新了跨站点脚本规则中的筛选器，以改进检测。	2022-12-05
已知错误输入托管规则组 `JavaDeserializationRCE_BODY` `JavaDeserializationRCE_URIPATH` `JavaDeserializationRCE_HEADER` `JavaDeserializationRCE_QUERYSTRING` `Host_localhost_HEADER`	发布了此规则组的静态版本 1.17。更新了 Java 反序列化规则，并增加了对与 Apache CVE-2022-42889 匹配的请求的检测，它是 1.10.0 之前的 Apache Commons Text 版本中的远程代码执行 (RCE) 漏洞。有关更多信息，请参阅 NIST：国家漏洞数据库：CVE-2022-42889 详细信息和 CVE-2022-42889：由于不安全的插值默认设置，1.10.0 之前的 Apache Commons Text 在应用于不受信任的输入时允许 RCE。改进了 `Host_localhost_HEADER` 中的检测。	2022-10-20
已知错误输入托管规则组 `Log4JRCE_HEADER` `Log4JRCE_QUERYSTRING` `Log4JRCE_URIPATH` `Log4JRCE_BODY`	发布了此规则组的静态版本 1.16。删除了 1.15 版本中 Amazon 识别的误报。	2022-10-05
POSIX 操作系统托管规则组 PHP 应用程序托管规则组 WordPress 应用程序托管规则组	更正了记录在案的标签名称。	2022-09-19
IP 声誉规则组 `AWSManagedIPDDoSList`	此更改不会改变规则组处理 Web 流量的方式。根据 Amazon 威胁情报，添加了一项新规则，其中包含检查积极参与 DDoS 活动的 IP 地址的 Count 行动。	2022-08-30
已知错误输入托管规则组 `Log4JRCE` `Log4JRCE_HEADER` `Log4JRCE_QUERYSTRING` `Log4JRCE_URIPATH` `Log4JRCE_BODY` `JavaDeserializationRCE_HEADER` `JavaDeserializationRCE_BODY` `JavaDeserializationRCE_URIPATH` `JavaDeserializationRCE_QUERYSTRING` `Host_localhost_HEADER` `PROPFIND_METHOD`	发布了此规则组的静态版本 1.15。删除了 `Log4JRCE`，并将其替换为 `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`，以便对误报进行更精细的监控和管理。添加了签名，以改进对 `PROPFIND_METHOD` 和所有 `JavaDeserializationRCE` 和 `Log4JRCE` 规则的检测和阻止。更新了标签，以更正 `Host_localhost_HEADER` 和所有 `JavaDeserializationRCE*` 规则中的大小写。更正了的 `JavaDeserializationRCE_HEADER` 描述。	2022-08-22
Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组 `UnsupportedCognitoIDP`	添加了一条规则，禁止对 Amazon Cognito 用户群体 Web 流量使用账户防盗托管规则组。	2022-08-11
核心规则集 (CRS) 托管规则组	Amazon 已为版本`Version_1.2`和规则组`Version_2.0`的计划过期。这些版本将于 2022 年 9 月 9 日到期。有关版本到期的信息，请参阅使用托管规则组进行版本管理。	2022-06-09
核心规则集 (CRS) 托管规则组 `GenericLFI_URIPATH` `GenericRFI_URIPATH`	发布了此规则组的版本 1.3。此版本更新了规则 `GenericLFI_URIPATH` 和 `GenericRFI_URIPATH` 中的匹配签名，以改进检测。	2022-05-24
Amazon WAF 机器人控制规则组 `CategoryEmailClient`	已将规则 `CategoryEmailClient` 添加到规则组中。	2022-04-06
已知错误输入托管规则组 `JavaDeserializationRCE_HEADER` `JavaDeserializationRCE_BODY` `JavaDeserializationRCE_URI` `JavaDeserializationRCE_QUERYSTRING`	发布了此规则组的版本 1.14。四条 `JavaDeserializtionRCE` 规则已移至 Block 模式。	2022-03-31
已知错误输入托管规则组 `JavaDeserializationRCE_HEADER_RC_COUNT` `JavaDeserializationRCE_BODY_RC_COUNT` `JavaDeserializationRCE_URI_RC_COUNT` `JavaDeserializationRCE_QUERYSTRING_RC_COUNT`	发布了此规则组的版本 1.13。更新了 Spring Core 和云函数 RCE 漏洞的文本转换。这些规则处于计数模式，用于收集指标并评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在区块模式下使用这些规则进行部署。	2022-03-31
已知错误输入托管规则组 `JavaDeserializationRCE_HEADER_RC_COUNT` `JavaDeserializationRCE_BODY_RC_COUNT` `JavaDeserializationRCE_URI_RC_COUNT` `JavaDeserializationRCE_QUERYSTRING_RC_COUNT` `Log4JRCE_HEADER` `Log4JRCE_QUERYSTRING` `Log4JRCE_URI` `Log4JRCE_BODY` `Log4JRCE`	发布了此规则组的版本 1.12。已为 Spring Core 和云函数 RCE 漏洞添加签名。这些规则处于计数模式，用于收集指标并评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在区块模式下使用这些规则进行部署。删除了规则`Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`，并将其替换为规则 `Log4JRCE`。	2022-03-30
IP 声誉规则组 `AWSManagedReconnaissanceList`	更新了 `AWSManagedReconnaissanceList` 规则，将操作从计数改为阻止。	2022-02-15
Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组新规则组中的所有规则	添加了规则组 `AWSManagedRulesATPRuleSet`。	2022-02-11
已知错误输入托管规则组 `Log4JRCE` `Log4JRCE_HEADER` `Log4JRCE_QUERYSTRING` `Log4JRCE_URI` `Log4JRCE_BODY`	发布了此规则组的版本 1.9。为了灵活使用此功能，删除了规则 `Log4JRCE`，并将其替换为规则 `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`。添加了签名，以改进检测和阻止。	2022-01-28
核心规则集 (CRS) `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`	发布了此规则组的版本 2.0。对于这些规则，调整了检测签名，以减少误报。将 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI` 文本转换。新增了 `HTML_ENTITY_DECODE` 文本转换。	2022-01-10
核心规则集 (CRS) `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`	作为该规则组版本 2.0 的一部分，新增了 `URL_DECODE_UNI` 文本转换。已从 `URL_DECODE` 文本转换中移除 `RestrictedExtensions_URIPATH`。	2022-01-10
SQL 数据库 `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE` `SQLi_URIPATH` `SQLiExtendedPatterns_BODY` `SQLiExtendedPatterns_QUERYARGUMENTS`	发布了此规则组的版本 2.0。将 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI` 文本转换，并新增了 `COMPRESS_WHITE_SPACE` 文本转换。向 `SQLiExtendedPatterns_QUERYARGUMENTS` 中添加了更多检测签名。向 `SQLi_BODY` 中添加了 JSON 检查。添加了规则 `SQLiExtendedPatterns_BODY`。删除了规则 `SQLi_URIPATH`。	2022-01-10
已知错误输入 `Log4JRCE`	发布了规则 `Log4JRCE` 的 1.8 版，以改进标头检查和匹配条件。	2021-12-17
已知错误输入 `Log4JRCE`	发布了规则 `Log4JRCE` 的 1.4 版，用于调整匹配条件并检查其他标头。发布了版本 1.5，以调整匹配条件。	2021-12-11
已知错误输入 `Log4JRCE` `BadAuthToken_COOKIE_AUTHORIZATION`	为回应 Log4j 中最近披露的安全问题，添加了规则 `Log4JRCE` 版本 1.2。有关信息，请参阅 CVE-2021-44228 此规则用于检查常用 URI 路径、查询字符串、请求正文的前 8KB 和常用标头。该规则使用双 `URL_DECODE_UNI` 文本转换。发布了 `Log4JRCE` 的 1.3 版，以调整匹配条件并检查其他标头。删除了规则 `BadAuthToken_COOKIE_AUTHORIZATION`。	2021-12-10

下表列出了 2021 年 12 月之前的变更。

规则组和规则	描述	日期
Amazon IP 声誉列表	`AWSManagedReconnaissanceList`	在监控/计数模式下添加了 `AWSManagedReconnaissanceList` 规则。此规则包含正在对 Amazon 资源执行侦测的 IP 地址。	2021-11-23
Windows 操作系统	`WindowsShellCommands` `PowerShellCommands`	为 WindowsShell 命令添加了三条新规则：`WindowsShellCommands_COOKIEWindowsShellCommands_QUERYARGUMENTS`、和`WindowsShellCommands_BODY`。添加了新 PowerShell 规则:`PowerShellCommands_COOKIE`. 通过删除字符串 _Set1 和 _Set2 重构了 `PowerShellComands` 规则命名。向 `PowerShellRules` 中添加了更全面的检测签名。为所有 Windows 操作系统规则添加了 `URL_DECODE_UNI` 文本转换。	2021-11-23
Linux 操作系统	`LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`	将双 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI`。添加了 `NORMALIZE_PATH_WIN` 作为第二个文本转换。将 `LFI_BODY` 规则替换为 `LFI_COOKIE` 规则。为所有 `LFI` 规则添加了更全面的检测签名。	2021-11-23
核心规则集 (CRS)	`SizeRestrictions_BODY`	降低了大小限制，以阻止正文有效负载大于 8 KB 的 Web 请求。以前，该限制为 10 KB。	2021-10-27
核心规则集 (CRS)	`EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`	添加了更多检测签名。添加了双 Unicode 网址解码，以改善阻止效果。	2021-10-27
核心规则集 (CRS)	`GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`	添加了双 Unicode 网址解码，以改善阻止效果。	2021-10-27
核心规则集 (CRS)	`GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`	根据客户反馈更新了规则签名以减少误报。添加了双 Unicode 网址解码，以改善阻止效果。	2021-10-27
全部	所有规则	为所有尚不支持 Amazon WAF 标签的规则添加了对标签的支持。	2021-10-25
Amazon IP 声誉列表	`AWSManagedIPReputationList_xxxx`	重组了 IP 信誉列表，删除了规则名称中的后缀，并增加了对标签的支持。 Amazon WAF	2021-05-04
匿名 IP 列表	`AnonymousIPList` `HostingProviderList`	增加了对 Amazon WAF 标签的支持。	2021-05-04
机器人控制功能	全部	添加了机器人控制功能规则集。	2021-04-01
核心规则集 (CRS)	`GenericRFI_QUERYARGUMENTS`	添加了双重 URL 解码。	2021-03-03
核心规则集 (CRS)	`RestrictedExtensions_URIPATH`	改进了规则的配置并添加了额外的 URL 解码。	2021-03-03
管理保护	`AdminProtection_URIPATH`	添加了双重 URL 解码。	2021-03-03
已知错误输入	`ExploitablePaths_URIPATH`	改进了规则的配置并添加了额外的 URL 解码。	2021-03-03
Linux 操作系统	`LFI_QUERYARGUMENTS`	改进了规则的配置并添加了额外的 URL 解码。	2021-03-03
Windows 操作系统	全部	改进了规则的配置。	2020-09-23
PHP 应用程序	`PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`	将文本转换从 HTML 解码更改为 URL 解码，以改善阻止。	2020-09-16
POSIX 操作系统	`UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`	将文本转换从 HTML 解码更改为 URL 解码，以改善阻止。	2020-09-16
核心规则集	`GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI_BODY	将文本转换从 HTML 解码更改为 URL 解码，以改善阻止。	2020-08-07
Linux 操作系统	`LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`	将文本转换从 HTML 实体解码更改为 URL 解码，以改善检测和阻止。	2020-05-19
匿名 IP 列表	全部	IP 声誉规则组中新的规则组可阻止来自以下这些服务的请求：这些服务允许对查看者身份进行模糊处理，以帮助缓解自动程序和规避地理限制的情况。	2020-03-06
WordPress 应用程序	`WordPressExploitableCommands_QUERYSTRING`	用于检查查询字符串中是否存在可利用的命令的新规则。	2020-03-03
核心规则集 (CRS)	`SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`	调整了大小值约束以提高准确性。	2020-03-03
SQL 数据库	`SQLi_URIPATH`	这些规则现在会检查消息 URI。	2020-01-23
SQL 数据库	`SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`	更新了文本转换。	2019-12-20
核心规则集 (CRS)	`CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`	更新了文本转换。	2019-12-20

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Amazon 托管规则免责声明

Amazon Web Services Marketplace 托管规则组