Versions Affected: 3.0.59 e antes
Fixed In: 3.0.60
Vulnerability Identifier: NR22-01
Priority: Alto
Resumo
New Relic lançou Containerized minion privado (chamadas por minuto) versão 3.0.60 para remover especificamente subdependências no log4j versão 1.2.17.
New Relic determinou que o log4j versão 1.2.17 foi incluído nas subdependências de nosso pacote de construção para Containerized minion privado antes da versão 3.0.60. Log4j versão 1.x tem CVEs altos e críticos excelentes de CVE-2021-4104 e CVE-2019-17571 e não recebe mais suporte da Apache Foundation para resolver esses problemas.
Itens de ação
Recomendamos fortemente que os clientes atualizem todos os seus minion privados em contêineres para a versão 3.0.60 ou posterior o mais rápido possível. Esta versão excluiu totalmente todo o uso do log4j versão 1.x da dependência. Você pode atualizar suas chamadas por minuto através do Helm Charts versão 1.0.48.
Esta etapa ajudará a remediar as vulnerabilidades log4j apenas em seu minion privado New Relic Containerized (chamadas por minuto). Para obter orientações adicionais de segurança sobre o log4j em outros produtos New Relic, consulte os Boletins de Segurança da New Relic em nossa página de documentação.
Customers using log4j directly in their applications should carefully review the Apache Log4j Security Vulnerabilities page for remediation details that should be considered.
Links Técnicos
Perguntas frequentes
I've updated to Containerized Private Minion (CPM) version 3.0.58 already, do I need to update to version 3.0.60?
Sim, New Relic recomenda fortemente a atualização neste momento para abordar vulnerabilidades críticas nas subdependências log4j identificadas no pacote de construção Containerized minion privado. A Apache Foundation emitiu uma recomendação para descontinuar todo o uso do log4j versão 1.x devido ao projeto estar sem suporte e ter vulnerabilidades pendentes. chamadas por minuto 3.0.60 e versões posteriores são as únicas versões de chamadas por minuto disponíveis sem qualquer uso do log4j versão 1.x.
História da Publicação
13 de janeiro de 2022 - Publicada NR22-01