Versions affected: Todas las versiones del agente entre (a) 4.12.0 y 6.5.1; y (b) 7.0.0 y 7.4.1
Fix versions: 6.5.2, 6.5.3, 6.5.4, 7.4.2, 7.4.3 y 7.5.0
Vulnerability identifier: NR21-03
Hemos determinado que las nuevas vulnerabilidades identificadas (CVE-2021-44832) NO afectan al agente de Java de New Relic, a menos que un vector de ataque adicional permita permisos de escritura en el sistema host. No obstante, las versiones más nuevas de New Relic agente de Java utilizarán las últimas versiones de Apache de log4j (actualmente versiones 2.17.1 (Java 8) y 2.12.4 (Java 7), que parchean CVE-2021-44832).
También hemos determinado que el agente de Java de New Relic NO es vulnerable ni a CVE-2021-45046 ni a CVE-2021-45105. Esto se debe a que el uso de log4j por parte del agente se encuentra detrás de una interfaz contenedora que no usa ni admite datos de entrada del mapa de contexto de subprocesos, un aspecto requerido de las vulnerabilidades. Sin embargo, recomendamos actualizar al menos a la versión 6.5.2 o 7.4.2 para garantizar una protección integral contra CVE-2021-44228.
A medida que haya nuevas versiones de log4j disponibles, continuaremos lanzando nuevas versiones del agente.
New Relic agente de Java | Versión log4j de apache |
---|---|
6.5.1 | 2.15.0 |
6.5.2 | 2.12.2 |
6.5.3 | 2.12.3 |
6.5.4 | 2.12.4 |
7.4.1 | 2.15.0 |
7.4.2 | 2.16.0 |
7.4.3 | 2.17.0 |
7.5.0+ | 2.17.1 |
Resumen
New Relic ha lanzado nuevas versiones del agente de Java para abordar vulnerabilidades críticas en el framework de código abierto log4j que podrían permitir a un actor malicioso exfiltrar datos o ejecutar código arbitrario utilizando mensaje de log o mensaje de log parámetro.
New Relic actualizará este Boletín de Seguridad y la orientación de nuestros clientes a medida que haya nueva información disponible.
Elementos de acción
Para remediar CVE 2021-44228 en New Relic agente de Java, recomendamos a los clientes actualizar a la versión 6.5.2 o superior del agente (requiere Java 7 o superior) o 7.4.2 o superior (requiere Java 8 o superior) lo antes posible .
Si ya actualizó a las versiones del agente 6.5.2 o 7.4.2, Está protegido contra CVE 2021-44228 y no es necesario que vuelva a actualizar en este momento. Hemos determinado que el agente de Java de New Relic NO es susceptible a CVE-2021-45046 o CVE-2021-45105, ya que el uso del agente de log4j se encuentra detrás de una interfaz contenedora que no usa ni admite datos de entrada del mapa de contexto de subprocesos. , un aspecto requerido de las vulnerabilidades. Recomendamos actualizar al menos a la versión 6.5.2 o 7.4.2 para garantizar una protección integral contra CVE-2021-44228.
Importante
Si tiene una versión del agente anterior a 6.5.2 o 7.4.2, o no puede actualizar la versión de su agente, le recomendamos encarecidamente que deshabilite el registro del agente.
Cómo deshabilitar el registro del agente de Java
Puede configurar su nivel de registro de agente de Java en OFF
para corregir CVE-2021-44228. Para hacer esto, use cualquiera de las siguientes opciones:
- Modifique el archivo de configuración de su agente local (busque el parámetro
log_level
) (no es necesario reiniciar) - Defina la propiedad del sistema
newrelic.config.log_level=OFF
(es necesario reiniciar) - Establezca la variable de entorno
NEW_RELIC_LOG_LEVEL=OFF
(es necesario reiniciar)
Puede verificar que el registro de agente se haya deshabilitado consultando el archivo de registro de agente. No deberías ver ningún mensaje nuevo escrito.
Deshabilitar el registro del agente de Java no afecta la funcionalidad del agente y no habrá degradación en la observabilidad.
Note: Esta solución alternativa se recomienda solo como solución temporal hasta que pueda actualizar la versión de su agente.
Compartiremos más información y pasos adicionales para remediar la situación si la situación cambia.
If you use log4j directly in your applications, be sure to carefully review the Apache Log4j Security Vulnerabilities. This page provides remediation details for you to consider.
Minion privado en contenedores
El paso anterior solucionará únicamente su agente de Java New Relic . Es posible que también necesites actualizar tu minion privado New Relic Containerized. Consulte NR21-04 para obtener más información.
Información sobre vulnerabilidades técnicas
- CVE-2021-44228 CVSS 10.0
- CVE-2021-45046 CVSS 9.0
- CVE-2021-45105 CVSS 7.5
- CVE-2021-44832 CVSS 6.6
- Guía de seguridad para clientes de New Relic relacionada con las vulnerabilidades de Apache Log4j
- Cómo ayudar a identificar sistemas con versiones vulnerables de log4j usando New Relic
- Apache log4j Vulnerabilidades de seguridad
- Foro de soporte New Relic
Preguntas frecuentes
Historial de publicaciones
3 de marzo de 2022: Revisión NR21-03:
- Referencias actualizadas a las versiones 6.5.4 y 7.5.0 del agente de Java.
29 de diciembre de 2021: NR21-03 Revisión:
- Actualizado para reflejar los hallazgos del agente en CVE-2021-44832
22 de diciembre de 2021: NR21-03 Revisión Mayor:
- Nuevas versiones de corrección 6.5.3 y 7.4.3 disponible para abordar CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105.
- Adición de evaluaciones de riesgo de explotabilidad para cada vulnerabilidad, para ayudar a los clientes a tomar decisiones de remediación.
- Se agregó contenido sobre la falta de impacto en la funcionalidad para los clientes que deshabilitan el registro de agentes.
17 de diciembre de 2021: NR21-03 Revisión:
- Cambio de gravedad y descripción técnica de CVE-2021-45046
16 de diciembre de 2021: NR21-03 Revisión Mayor:
- Nueva versión de corrección 6.5.2 disponible para abordar tanto CVE-2021-44228 como CVE-2021-45046.
- Cambio en la guía con respecto a la suficiencia de log4j versión 2.15.0 para proteger contra la explotación de CVE-2021-44228.
- Cambio en la solución alternativa recomendada.
- Actualización de la descripción técnica NIST de CVE-2021-44228.
14 de diciembre de 2021: NR21-03 Revisión Mayor:
- Nueva versión de corrección 7.4.2 disponible para abordar tanto CVE-2021-44228 como CVE-2021-45046.
- Actualizado para incluir una opción de solución adicional.
- Actualizado para brindar claridad entre las actualizaciones de New Relic agente de Java y las mejores prácticas que los clientes deben seguir para proteger su aplicación.
- Se agregaron descripciones de vulnerabilidades técnicas y puntuaciones CVSS del Instituto Nacional de Estándares y Tecnología (NIST).
13 de diciembre de 2021: NR21-03 actualizado para incluir preguntas frecuentes y orientación sobre soluciones alternativas más explícitas
10 de diciembre de 2021: Publicación NR21-03
Informar vulnerabilidades de seguridad a New Relic
New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte nuestra documentación sobre cómo informar vulnerabilidades de seguridad.