影響を受けるバージョン: (a) 4.12.0 から 6.5.1、および (b) 7.0.0 から 7.4.1 までのすべてのエージェントバージョン
修正バージョン: 6.5.2, 6.5.3, 6.5.4, 7.4.2, 7.4.3, 7.5.0.
脆弱性の識別子: NR21-03
特定された新しい脆弱性 (CVE-2021-44832) は、追加の攻撃ベクトルによってホスト システムへの書き込み権限が許可されない限り、New Relic の Java エージェントに影響を与えないと判断しました。それにもかかわらず、New Relic Java エージェントの新しいバージョンは、最新の Apache バージョンの log4j (現在、バージョン 2.17.1 (Java 8) および 2.12.4 (Java 7) で、CVE-2021-44832 にパッチを当てています) を使用します。
また、New Relic の Java エージェントは、CVE-2021-45046 または CVE-2021-45105 に対して脆弱ではないと判断しました。これは、エージェントによる log4j の使用が、脆弱性の必要な側面であるスレッド コンテキスト マップ入力データを使用またはサポートしないラッパー インターフェイスの背後にあるためです。ただし、CVE-2021-44228 に対する包括的な保護を確保するために_、少なくとも_6.5.2 または 7.4.2 リリースに更新することをお勧めします。
log4jの新しいバージョンが利用可能になると、私たちはエージェントの新しいバージョンをリリースし続けます。
New Relic Java エージェントのバージョン | Apache log4jのバージョン |
|---|---|
6.5.1 | 2.15.0 |
6.5.2 | 2.12.2 |
6.5.3 | 2.12.3 |
6.5.4 | 2.12.4 |
7.4.1 | 2.15.0 |
7.4.2 | 2.16.0 |
7.4.3 | 2.17.0 |
7.5.0+ | 2.17.1 |
概要
New Relicは、オープンソースのlog4jフレームワークに存在する重要な脆弱性に対処するため、Javaエージェントの新バージョンをリリースしました。この脆弱性により、悪意のある行為者がログメッセージやログメッセージのパラメータを使用してデータを流出させたり、任意のコードを実行したりする可能性があります。
ニューレリックは、新しい情報が得られ次第、このセキュリティブルテンおよびお客様向けガイダンスを更新します。
アクションアイテム
New Relic Java エージェントで CVE 2021-44228 を修正するには、できるだけ早くエージェント リリース 6.5.2 以降 (Java 7 以降が必要) または 7.4.2 以降 (Java 8 以降が必要) にアップグレードすることをお勧めします。
エージェント バージョン 6.5.2 または 7.4.2 にすでにアップグレードしている場合は、CVE 2021-44228 から保護されており、現時点で再度アップグレードする必要はありません。New Relic の Java エージェントは、CVE-2021-45046 または CVE-2021-45105 の影響を受けないと判断しました。これは、log4j を使用するエージェントが、必要な Thread Context Map 入力データを使用またはサポートしないラッパー インターフェイスの背後にあるためです。脆弱性の側面。CVE-2021-44228 に対する包括的な保護を確保するために、少なくとも 6.5.2 または 7.4.2 リリースに更新することをお勧めします。
重要
6.5.2または7.4.2より前のバージョンのエージェントを使用している場合、またはエージェントのバージョンをアップグレードできない場合は、エージェントのログを無効にすることを強くお勧めします。
Javaエージェントのログを無効にする方法
CVE-2021-44228 を修復するために、Java エージェントのログ レベルをOFFに設定できます。これを行うには、次のオプションのいずれかを使用します。
- ローカル エージェント構成ファイルを変更します (
log_levelパラメーターを検索します) (再起動は不要です) newrelic.config.log_level=OFFシステム プロパティを定義します (再起動が必要です)NEW_RELIC_LOG_LEVEL=OFF環境変数を設定します (再起動が必要です)
エージェントログが無効になっていることは、エージェントログファイルを確認することで確認できます。新しいメッセージが書き込まれていないことを確認してください。
Javaエージェントのロギングを無効にしても、エージェントの機能には影響がなく、観測性の低下もありません。
注意: この回避策は、エージェントのバージョンを更新できるようになるまでの一時的な解決策としてのみ推奨されます。
状況が変化した場合には、より多くの情報や改善のための追加手順を共有します。
アプリケーションで log4j を直接使用している場合は、 Apache Log4j Security Vulnerabilities を注意深く確認してください。このページでは、検討すべき改善策の詳細を提供しています。
コンテナ化されたプライベートミニオン
上記のステップは、New Relic Java エージェントのみを修復します。また、New Relic Containerized Private Minion のアップデートが必要な場合もあります。詳しくは、 NR21-04 をご参照ください。
技術的な脆弱性情報
- CVE-2021-44228 cvss 10.0
- CVE-2021-45046 cvss 9.0
- CVE-2021-45105 cvss 7.5
- CVE-2021-44832 cvss 6.6
- Apache Log4jの脆弱性に関するNew Relicのお客様へのセキュリティガイダンス
- New Relicを使って脆弱なlog4jのバージョンを持つシステムを特定する方法
- Apache log4jのセキュリティの脆弱性
- New Relic サポート フォーラム
よくあるご質問
出版履歴
2022年3月3日:NR21-03 改訂。
- Javaエージェントバージョン6.5.4& 7.5.0への参照を更新しました。
2021年12月29日NR21-03 Revision:
- CVE-2021-44832に関するエージェントの調査結果を反映して更新しました。
2021年12月22日NR21-03 メジャーリビジョン
- CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 に対応した新しい修正バージョン 6.5.3 および 7.4.3 が利用可能です。
- 脆弱性ごとに悪用可能性のリスク評価を追加し、お客様が改善策を決定する際に役立てています。
- エージェントのログ記録を無効にしたお客様の機能への影響がないことに関するコンテンツの追加。
2021年12月17日NR21-03 Revision:
- CVE-2021-45046の深刻度と技術的記述の変更
2021年12月16日NR21-03 メジャーリビジョン
- CVE-2021-44228とCVE-2021-45046の両方に対応する新しい修正バージョン6.5.2が利用可能です。
- CVE-2021-44228 の悪用から保護するための log4j バージョン 2.15.0 の有効性に関するガイダンスの変更。
- 推奨ワークアラウンドの変更
- CVE-2021-44228のNIST技術解説を更新しました。
2021年12月14日NR21-03 メジャーリビジョン
- CVE-2021-44228とCVE-2021-45046の両方に対応する新しい修正バージョン7.4.2が利用可能です。
- ワークアラウンドオプションを追加しました。
- New Relic Javaエージェントのアップデートと、お客様がアプリケーションのセキュリティを確保するために行うべきベスト・プラクティスを明確にするために更新しました。
- 米国国立標準技術研究所(NIST)による技術的な脆弱性の説明とCVSSスコアを追加しました。
2021年12月13日NR21-03が更新され、より明確な回避策のガイダンスとFAQが追加されました。
2021年12月10日NR21-03公開
セキュリティの脆弱性をNew Relicに報告
ニューレリックは、お客様とお客様のデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見された場合、New Relic の協調的開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 セキュリティ脆弱性の報告に関するドキュメント をご覧ください。