Resumo
New Relic lançou Containerized minion privado (chamadas por minuto) versão 3.0.58 em 21/12/2021 para abordar vulnerabilidades críticas CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105 na framework de código aberto Apache Log4j . Um ator malicioso pode ser capaz de executar código arbitrário usando o parâmetro mensagem do log ou mensagem do log.
A New Relic também lançou o Helm Charts versão 1.0.46 em 21/12/2021 para solucionar essas vulnerabilidades. Helm Charts versão 1.0.46 contém as chamadas por minuto versão 3.0.58.
New Relic atualizará este Boletim de Segurança e as orientações de nossos clientes à medida que novas informações forem disponibilizadas.
Vulnerability identifier: NR21-04
Priority: Crítico
Software afetado
Versões afetadas: Todas as versões do minion privado (chamadas por minuto) em contêineres suportadas anteriores à 3.0.58
Versão fixa: 3.0.58, também disponível através do Helm Charts versão 1.0.46
Versão New Relic Containerized minion privado (chamadas por minuto) | Versão do Apache log4j |
|---|---|
3.0.55 | 2.15.0 |
3.0.57 | 2.16.0 |
3.0.58 | 2.17.0 |
Se você usa Helm Charts para atualizar suas chamadas por minuto configuração, você desejará implementar New Relic Helm Charts versão 1.0.46. Isso atualizará suas chamadas por minuto para a versão 3.0.58.
Itens de ação
Para remediar CVE 2021-44228, CVE 2021-45046 e CVE 2021-45105 no minion privado New Relic Containerized, recomendamos que os clientes atualizem para a versão 3.0.58 O mais breve possível. Esta versão foi atualizada para usar a versão 2.17.0 corrigida da framework Apache Log4j. Você pode atualizar suas chamadas por minuto através do Helm Charts versão 1.0.46.
Esta etapa corrigirá apenas seu minion privado New Relic Containerized (chamadas por minuto). Também pode ser necessário atualizar seu agente Java do New Relic. Consulte a NR21-03 para mais informações.
Customers using log4j directly in their applications should carefully review the Apache Log4j Security Vulnerabilities page for remediation details that should be considered.
Informações sobre vulnerabilidades
Uma vulnerabilidade de alto nível foi divulgada publicamente para a framework log4j em 09/12/2021. Um invasor é capaz de executar código arbitrário usando o parâmetro mensagem do log ou mensagem do log.
- CVE-2021-44228 CVSS 10.0
- CVE-2021-45046 CVSS 9.0
- CVE-2021-45105 CVSS 7.5
- Orientações de segurança para clientes New Relic relacionadas às vulnerabilidades do Apache Log4j
- Como ajudar a identificar sistemas com versões log4j vulneráveis usando New Relic
- Vulnerabilidades de segurança do Apache log4j
- Fórum de suporte New Relic
Perguntas frequentes
Histórico de publicação
22 de dezembro de 2021: Revisão Principal da NR21-04:
- Nova correção versão 3.0.58 disponível para endereçar CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105.
- Adição do Helm Charts versão 1.0.46 que contém as chamadas por minuto 3.0.58 atualizar.
17 de dezembro de 2021: Revisão da NR21-04: Alteração na gravidade e descrição técnica da CVE-2021-45046.
16 de dezembro de 2021: Revisão Principal da NR21-04:
- Alteração na orientação quanto à suficiência de chamadas por minuto 3.0.55 contendo log4j versão 2.15.0 para proteção contra exploração de CVE-2021-44228.
- Adição do Helm Charts versão 1.0.45 que contém as chamadas por minuto 3.0.57 atualizar.
- Atualização da descrição técnica NIST de CVE-2021-44228.
14 de dezembro de 2021: Revisão Principal da NR21-04:
- Nova correção versão 3.0.57 lançado para abordar CVE-2021-44228 e CVE-2021-45046.
- Atualizado para fornecer melhor clareza entre as atualizações de chamadas por minuto New Relic e as práticas recomendadas que os clientes devem seguir para proteger seu aplicativo.
- Adicionada seção de perguntas frequentes.
13 de dezembro de 2021: publicada NR21-04
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte nossa documentação sobre como relatar vulnerabilidades de segurança.