• EnglishEspañol日本語한국어Português
  • Inicia sesiónComenzar ahora

Te ofrecemos esta traducción automática para facilitar la lectura.

In the event of any inconsistency between the English version and the translated version, the English versionwill take priority. Please visit this page for more information.

Crea una propuesta

Apache Log4j vulnerabilidades críticas CVE-2021-44228 - Java

Versions affected: Todas las versiones del agente entre (a) 4.12.0 y 6.5.1; y (b) 7.0.0 y 7.4.1

Fix versions: 6.5.2, 6.5.3, 6.5.4, 7.4.2, 7.4.3 y 7.5.0

Vulnerability identifier: NR21-03

Hemos determinado que las nuevas vulnerabilidades identificadas (CVE-2021-44832) NO afectan al agente de Java de New Relic, a menos que un vector de ataque adicional permita permisos de escritura en el sistema host. No obstante, las versiones más nuevas de New Relic agente de Java utilizarán las últimas versiones de Apache de log4j (actualmente versiones 2.17.1 (Java 8) y 2.12.4 (Java 7), que parchean CVE-2021-44832).

También hemos determinado que el agente de Java de New Relic NO es vulnerable ni a CVE-2021-45046 ni a CVE-2021-45105. Esto se debe a que el uso de log4j por parte del agente se encuentra detrás de una interfaz contenedora que no usa ni admite datos de entrada del mapa de contexto de subprocesos, un aspecto requerido de las vulnerabilidades. Sin embargo, recomendamos actualizar al menos a la versión 6.5.2 o 7.4.2 para garantizar una protección integral contra CVE-2021-44228.

A medida que haya nuevas versiones de log4j disponibles, continuaremos lanzando nuevas versiones del agente.

New Relic agente de Java

Versión log4j de apache

6.5.1

2.15.0

6.5.2

2.12.2

6.5.3

2.12.3

6.5.4

2.12.4

7.4.1

2.15.0

7.4.2

2.16.0

7.4.3

2.17.0

7.5.0+

2.17.1

Resumen

New Relic ha lanzado nuevas versiones del agente de Java para abordar vulnerabilidades críticas en el framework de código abierto log4j que podrían permitir a un actor malicioso exfiltrar datos o ejecutar código arbitrario utilizando mensaje de log o mensaje de log parámetro.

New Relic actualizará este Boletín de Seguridad y la orientación de nuestros clientes a medida que haya nueva información disponible.

Elementos de acción

Para remediar CVE 2021-44228 en New Relic agente de Java, recomendamos a los clientes actualizar a la versión 6.5.2 o superior del agente (requiere Java 7 o superior) o 7.4.2 o superior (requiere Java 8 o superior) lo antes posible .

Si ya actualizó a las versiones del agente 6.5.2 o 7.4.2, Está protegido contra CVE 2021-44228 y no es necesario que vuelva a actualizar en este momento. Hemos determinado que el agente de Java de New Relic NO es susceptible a CVE-2021-45046 o CVE-2021-45105, ya que el uso del agente de log4j se encuentra detrás de una interfaz contenedora que no usa ni admite datos de entrada del mapa de contexto de subprocesos. , un aspecto requerido de las vulnerabilidades. Recomendamos actualizar al menos a la versión 6.5.2 o 7.4.2 para garantizar una protección integral contra CVE-2021-44228.

Importante

Si tiene una versión del agente anterior a 6.5.2 o 7.4.2, o no puede actualizar la versión de su agente, le recomendamos encarecidamente que deshabilite el registro del agente.

Cómo deshabilitar el registro del agente de Java

Puede configurar su nivel de registro de agente de Java en OFF para corregir CVE-2021-44228. Para hacer esto, use cualquiera de las siguientes opciones:

  • Modifique el archivo de configuración de su agente local (busque el parámetro log_level ) (no es necesario reiniciar)
  • Defina la propiedad del sistema newrelic.config.log_level=OFF (es necesario reiniciar)
  • Establezca la variable de entorno NEW_RELIC_LOG_LEVEL=OFF (es necesario reiniciar)

Puede verificar que el registro de agente se haya deshabilitado consultando el archivo de registro de agente. No deberías ver ningún mensaje nuevo escrito.

Deshabilitar el registro del agente de Java no afecta la funcionalidad del agente y no habrá degradación en la observabilidad.

Note: Esta solución alternativa se recomienda solo como solución temporal hasta que pueda actualizar la versión de su agente.

Compartiremos más información y pasos adicionales para remediar la situación si la situación cambia.

If you use log4j directly in your applications, be sure to carefully review the Apache Log4j Security Vulnerabilities. This page provides remediation details for you to consider.

Minion privado en contenedores

El paso anterior solucionará únicamente su agente de Java New Relic . Es posible que también necesites actualizar tu minion privado New Relic Containerized. Consulte NR21-04 para obtener más información.

Información sobre vulnerabilidades técnicas

Preguntas frecuentes

Historial de publicaciones

  • 3 de marzo de 2022: Revisión NR21-03:

    • Referencias actualizadas a las versiones 6.5.4 y 7.5.0 del agente de Java.

  • 29 de diciembre de 2021: NR21-03 Revisión:

    • Actualizado para reflejar los hallazgos del agente en CVE-2021-44832

  • 22 de diciembre de 2021: NR21-03 Revisión Mayor:

    • Nuevas versiones de corrección 6.5.3 y 7.4.3 disponible para abordar CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105.
    • Adición de evaluaciones de riesgo de explotabilidad para cada vulnerabilidad, para ayudar a los clientes a tomar decisiones de remediación.
    • Se agregó contenido sobre la falta de impacto en la funcionalidad para los clientes que deshabilitan el registro de agentes.

  • 17 de diciembre de 2021: NR21-03 Revisión:

    • Cambio de gravedad y descripción técnica de CVE-2021-45046

  • 16 de diciembre de 2021: NR21-03 Revisión Mayor:

    • Nueva versión de corrección 6.5.2 disponible para abordar tanto CVE-2021-44228 como CVE-2021-45046.
    • Cambio en la guía con respecto a la suficiencia de log4j versión 2.15.0 para proteger contra la explotación de CVE-2021-44228.
    • Cambio en la solución alternativa recomendada.
    • Actualización de la descripción técnica NIST de CVE-2021-44228.

  • 14 de diciembre de 2021: NR21-03 Revisión Mayor:

    • Nueva versión de corrección 7.4.2 disponible para abordar tanto CVE-2021-44228 como CVE-2021-45046.
    • Actualizado para incluir una opción de solución adicional.
    • Actualizado para brindar claridad entre las actualizaciones de New Relic agente de Java y las mejores prácticas que los clientes deben seguir para proteger su aplicación.
    • Se agregaron descripciones de vulnerabilidades técnicas y puntuaciones CVSS del Instituto Nacional de Estándares y Tecnología (NIST).

  • 13 de diciembre de 2021: NR21-03 actualizado para incluir preguntas frecuentes y orientación sobre soluciones alternativas más explícitas

  • 10 de diciembre de 2021: Publicación NR21-03

Informar vulnerabilidades de seguridad a New Relic

New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte nuestra documentación sobre cómo informar vulnerabilidades de seguridad.

Copyright © 2024 New Relic Inc.
CarrerasTérminos de servicioPolítica de DMCAAviso de privacidadPolítica de cookiesUK Slavery Act (Ley contra la esclavitud del RU)

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.