• EnglishEspañol日本語한국어Português
  • Inicia sesiónComenzar ahora

Te ofrecemos esta traducción automática para facilitar la lectura.

En caso de que haya discrepancias entre la versión en inglés y la versión traducida, se entiende que prevalece la versión en inglés. Visita esta página para obtener más información.

Crea una propuesta

Minion privado en contenedores elimina la subdependencia de Log4j versión 1.2.17

Versions Affected: 3.0.59 y antes

Fixed In: 3.0.60

Vulnerability Identifier: NR22-01

Priority: Alto

Resumen

New Relic lanzó Minion privado en contenedor (llamadas por minuto) versión 3.0.60 para eliminar específicamente las subdependencias en log4j versión 1.2.17.

New Relic ha determinado que la versión 1.2.17 de log4j se incluyó en las subdependencias de nuestro paquete de compilación para Minion privado en contenedores antes de la versión 3.0.60. La versión 1.x de Log4j tiene CVE altos y críticos sobresalientes de CVE-2021-4104 y CVE-2019-17571 y ya no recibe soporte de la Fundación Apache para abordar estos problemas.

Elementos de acción

Recomendamos encarecidamente a los clientes que actualicen todos sus minion privados en contenedores a la versión 3.0.60 o posterior lo antes posible. Esta versión ha excluido por completo todo uso de log4j versión 1.x de dependencia. Puedes actualizar tus llamadas por minuto a través de la versión 1.0.48 de Helm Charts.

Este paso ayudará a remediar las vulnerabilidades de log4j en su minion privado New Relic Containerized (llamadas por minuto). Para obtener orientación de seguridad adicional sobre log4j en otros productos New Relic, revise los boletines de seguridad de New Relic en nuestra página de documentación.

Customers using log4j directly in their applications should carefully review the Apache Log4j Security Vulnerabilities page for remediation details that should be considered.

Enlaces técnicos

Preguntas frecuentes

I've updated to Containerized Private Minion (CPM) version 3.0.58 already, do I need to update to version 3.0.60?

Sí, New Relic recomienda encarecidamente actualizar en este momento para abordar las vulnerabilidades críticas en las subdependencias de log4j identificadas en el paquete de compilación de minion privado en contenedores. La Fundación Apache ha emitido una recomendación para desaprobar todo uso de log4j versión 1.x debido a que el proyecto no tiene soporte y tiene vulnerabilidades pendientes. llamadas por minuto 3.0.60 y versiones posteriores son las únicas versiones de llamadas por minuto disponibles sin ningún uso de log4j versión 1.x.

Historial de publicaciones

13 de enero de 2022 - NR22-01 Publicado

Copyright © 2024 New Relic Inc.
CarrerasTérminos de servicioPolítica de DMCAAviso de privacidadPolítica de cookiesUK Slavery Act (Ley contra la esclavitud del RU)

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.