• /
  • EnglishEspañol日本語한국어Português
  • EntrarComeçar agora

Esta tradução de máquina é fornecida para sua comodidade.

Caso haja alguma divergência entre a versão em inglês e a traduzida, a versão em inglês prevalece. Acesse esta página para mais informações.

Criar um problema

Minion privado em contêiner remove a subdependência do Log4j versão 1.2.17

Versions Affected: 3.0.59 e antes

Fixed In: 3.0.60

Vulnerability Identifier: NR22-01

Priority: Alto

Resumo

New Relic lançou Containerized minion privado (chamadas por minuto) versão 3.0.60 para remover especificamente subdependências no log4j versão 1.2.17.

New Relic determinou que o log4j versão 1.2.17 foi incluído nas subdependências de nosso pacote de construção para Containerized minion privado antes da versão 3.0.60. Log4j versão 1.x tem CVEs altos e críticos excelentes de CVE-2021-4104 e CVE-2019-17571 e não recebe mais suporte da Apache Foundation para resolver esses problemas.

Itens de ação

Recomendamos fortemente que os clientes atualizem todos os seus minion privados em contêineres para a versão 3.0.60 ou posterior o mais rápido possível. Esta versão excluiu totalmente todo o uso do log4j versão 1.x da dependência. Você pode atualizar suas chamadas por minuto através do Helm Charts versão 1.0.48.

Esta etapa ajudará a remediar as vulnerabilidades log4j apenas em seu minion privado New Relic Containerized (chamadas por minuto). Para obter orientações adicionais de segurança sobre o log4j em outros produtos New Relic, consulte os Boletins de Segurança da New Relic em nossa página de documentação.

Customers using log4j directly in their applications should carefully review the Apache Log4j Security Vulnerabilities page for remediation details that should be considered.

Links Técnicos

Perguntas frequentes

I've updated to Containerized Private Minion (CPM) version 3.0.58 already, do I need to update to version 3.0.60?

Sim, New Relic recomenda fortemente a atualização neste momento para abordar vulnerabilidades críticas nas subdependências log4j identificadas no pacote de construção Containerized minion privado. A Apache Foundation emitiu uma recomendação para descontinuar todo o uso do log4j versão 1.x devido ao projeto estar sem suporte e ter vulnerabilidades pendentes. chamadas por minuto 3.0.60 e versões posteriores são as únicas versões de chamadas por minuto disponíveis sem qualquer uso do log4j versão 1.x.

História da Publicação

13 de janeiro de 2022 - Publicada NR22-01

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.