• ログイン

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

Apache Log4jの重大な脆弱性 CVE-2021-44228 - Java

影響を受けるバージョン: (a) 4.12.0 から 6.5.1、および (b) 7.0.0 から 7.4.1 までのすべてのエージェントバージョン

修正バージョン: 6.5.2, 6.5.3, 6.5.4, 7.4.2, 7.4.3, 7.5.0.

脆弱性の識別子: NR21-03

今回確認された新たな脆弱性 (CVE-2021-44832) は、追加の攻撃ベクトルがホストシステムへの書き込み権限を許可しない限り、New Relic の Java Agent には影響しないと判断しています。それでも、New Relic Java Agent の新しいバージョンでは、log4j の最新の Apache バージョン (現在のバージョン 2.17.1 (Java 8) および 2.12.4 (Java 7) は CVE-2021-44832 のパッチを適用) を使用する予定です。

また、New Relic の Java エージェントは CVE-2021-45046 および CVE-2021-45105 のいずれに対しても脆弱ではないと判断しています。これは、エージェントの log4j の使用が、脆弱性の必須要素である Thread Context Map 入力データを使用またはサポートしないラッパーインターフェースの背後に位置するためです。ただし、CVE-2021-44228に対する包括的な保護を確保するために、6.5.2または7.4.2リリースに少なくとも更新することをお勧めします。

log4jの新しいバージョンが利用可能になると、私たちはエージェントの新しいバージョンをリリースし続けます。

New Relic Java エージェントのバージョン

Apache log4jのバージョン

6.5.1

2.15.0

6.5.2

2.12.2

6.5.3

2.12.3

6.5.4

2.12.4

7.4.1

2.15.0

7.4.2

2.16.0

7.4.3

2.17.0

7.5.0+

2.17.1

概要

New Relicは、オープンソースのlog4jフレームワークに存在する重要な脆弱性に対処するため、Javaエージェントの新バージョンをリリースしました。この脆弱性により、悪意のある行為者がログメッセージやログメッセージのパラメータを使用してデータを流出させたり、任意のコードを実行したりする可能性があります。

ニューレリックは、新しい情報が得られ次第、このセキュリティブルテンおよびお客様向けガイダンスを更新します。

アクションアイテム

New Relic Java エージェントの CVE 2021-44228 を修正するために、お客様にはエージェントのリリース 6.5.2 以降 (Java 7 以降が必要) または 7.4.2 以降 (Java 8 以降が必要) にできるだけ早くアップグレードすることをお勧めします。

すでにエージェントのバージョン 6.5.2 または 7.4.2 にアップグレードしている場合は、CVE 2021-44228 に対して保護されているため、今回は再度アップグレードする必要はありません。New Relic の Java エージェントは、CVE-2021-45046 および CVE-2021-45105 のいずれにも該当しないと判断しています。これは、エージェントが log4j を使用する際に、脆弱性の要件である Thread Context Map 入力データを使用またはサポートしないラッパーインターフェイスを使用しているためです。CVE-2021-44228 を完全に防ぐためには、少なくとも 6.5.2 または 7.4.2 にアップデートすることをお勧めします。

重要

6.5.2または7.4.2より前のバージョンのエージェントを使用している場合、またはエージェントのバージョンをアップグレードできない場合は、エージェントのログを無効にすることを強くお勧めします。

Javaエージェントのログを無効にする方法

CVE-2021-44228を修正するために、Javaエージェントのログレベルを OFF に設定することができます。これを行うには、以下のいずれかのオプションを使用します。

  • ローカルのエージェント設定ファイルを変更する( log_level パラメータを検索する)(再起動の必要はありません)。
  • newrelic.config.log_level=OFF システムプロパティの定義(要再起動)
  • NEW_RELIC_LOG_LEVEL=OFF 環境変数を設定する(要再起動)。

エージェントログが無効になっていることは、エージェントログファイルを確認することで確認できます。新しいメッセージが書き込まれていないことを確認してください。

Javaエージェントのロギングを無効にしても、エージェントの機能には影響がなく、観測性の低下もありません。

注意: この回避策は、エージェントのバージョンを更新できるようになるまでの一時的な解決策としてのみ推奨されます。

状況が変化した場合には、より多くの情報や改善のための追加手順を共有します。

アプリケーションで log4j を直接使用している場合は、 Apache Log4j Security Vulnerabilities を注意深く確認してください。このページでは、検討すべき改善策の詳細を提供しています。

コンテナ化されたプライベートミニオン

上記のステップは、New Relic Java エージェントのみを修復します。また、New Relic Containerized Private Minion のアップデートが必要な場合もあります。詳しくは、 NR21-04 をご参照ください。

技術的な脆弱性情報

よくあるご質問

出版履歴

  • 2022年3月3日:NR21-03 改訂。

    • Javaエージェントバージョン6.5.4& 7.5.0への参照を更新しました。
  • 2021年12月29日NR21-03 Revision:

    • CVE-2021-44832に関するエージェントの調査結果を反映して更新しました。
  • 2021年12月22日NR21-03 メジャーリビジョン

    • CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 に対応した新しい修正バージョン 6.5.3 および 7.4.3 が利用可能です。
    • 脆弱性ごとに悪用可能性のリスク評価を追加し、お客様が改善策を決定する際に役立てています。
    • Agent Logingを無効にしているお客様の機能低下の影響に関する内容を追加しました。
  • 2021年12月17日NR21-03 Revision:

    • CVE-2021-45046の深刻度と技術的記述の変更
  • 2021年12月16日NR21-03 メジャーリビジョン

    • CVE-2021-44228とCVE-2021-45046の両方に対応する新しい修正バージョン6.5.2が利用可能です。
    • CVE-2021-44228 の悪用から保護するための log4j バージョン 2.15.0 の有効性に関するガイダンスの変更。
    • 推奨ワークアラウンドの変更
    • CVE-2021-44228のNIST技術解説を更新しました。
  • 2021年12月14日NR21-03 メジャーリビジョン

    • CVE-2021-44228とCVE-2021-45046の両方に対応する新しい修正バージョン7.4.2が利用可能です。
    • ワークアラウンドオプションを追加しました。
    • New Relic Javaエージェントのアップデートと、お客様がアプリケーションのセキュリティを確保するために行うべきベスト・プラクティスを明確にするために更新しました。
    • 米国国立標準技術研究所(NIST)による技術的な脆弱性の説明とCVSSスコアを追加しました。
  • 2021年12月13日NR21-03が更新され、より明確な回避策のガイダンスとFAQが追加されました。

  • 2021年12月10日NR21-03公開

セキュリティの脆弱性をNew Relicに報告

ニューレリックは、お客様とお客様のデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見された場合、New Relic の協調的開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 セキュリティ脆弱性の報告に関するドキュメント をご覧ください。

Copyright © 2022 New Relic株式会社。

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.