• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

Apache Log4jの重大な脆弱性 CVE-2021-44228 - CPM

概要

New Relic は、オープンソースの Apache Log4j フレームワークに存在する重要な脆弱性 CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 に対応した Containerized Private Minion (CPM) バージョン 3.0.58 を 2021-12-21 に公開しました。悪意のある行為者は、ログメッセージやログメッセージのパラメータを使って任意のコードを実行できる可能性があります。

また、New Relicはこれらの脆弱性に対応するため、2021-12-21にHelm Chartsバージョン1.0.46をリリースしました。Helm Chartsのバージョン1.0.46には、CPMのバージョン3.0.58が含まれています。

ニューレリックは、新しい情報が得られ次第、このセキュリティブルテンおよびお客様向けガイダンスを更新します。

脆弱性の識別子: NR21-04

プライオリティ: クリティカル

対象となるソフトウェア

影響を受けるバージョンCPM(Containerized Private Minion)の3.0.58以前のすべてのサポート対象バージョン

固定バージョン:3.0.58、Helm Chartsバージョン1.0.46からも利用可能

New Relic Containerized Private Minion (CPM)バージョン

Apache log4jのバージョン

3.0.55

2.15.0

3.0.57

2.16.0

3.0.58

2.17.0

Helm Charts を使用して CPM の設定を更新している場合は、New Relic Helm Charts バージョン 1.0.46 を導入する必要があります。これにより、CPMがバージョン3.0.58にアップデートされます。

アクションアイテム

New Relic Containerized Private Minion の CVE 2021-44228、CVE 2021-45046、および CVE 2021-45105 を修正するため、お客様にはできるだけ早くバージョン 3.0.58 にアップグレードすることをお勧めします。このバージョンは、修復された Apache Log4j フレームワークの 2.17.0 バージョンを使用するように更新されています。CPM の更新は、Helm Charts バージョン 1.0.46 から行うことができます。

このステップでは、New Relic Containerized Private Minion (CPM)のみを修復します。また、New Relic の Java エージェントを更新する必要があるかもしれません。詳細については、 NR21-03 を参照してください。

アプリケーションにlog4jを直接使用しているお客様は、 Apache Log4j Security Vulnerabilities ページをよくご覧になり、考慮すべき改善策をご確認ください。

脆弱性情報

2021-12-09、log4j フレームワークに高レベルの脆弱性が公開されました。攻撃者は、ログメッセージやログメッセージのパラメータを使って任意のコードを実行することができます。

よくあるご質問

出版履歴

  • 2021年12月22日NR21-04メジャーリビジョン。

    • CVE-2021-44228、CVE-2021-45046、およびCVE-2021-45105に対応する新しい修正バージョン3.0.58が利用可能です。
    • CPM 3.0.58のアップデートを含むバージョン1.0.46のHelm Chartsを追加。
  • 2021年12月17日NR21-04 改訂版です。CVE-2021-45046 の深刻度および技術的説明の変更。

  • 2021年12月16日NR21-04 メジャーリビジョン

    • CVE-2021-44228 の悪用から保護するための log4j バージョン 2.15.0 を含む CPM 3.0.55 の有効性に関するガイダンスの変更。
    • CPM 3.0.57のアップデートを含むバージョン1.0.45のHelm Chartsを追加しました。
    • CVE-2021-44228のNIST技術解説を更新しました。
  • 2021年12月14日NR21-04 メジャーリビジョン

    • CVE-2021-44228とCVE-2021-45046の両方に対応した新しい修正バージョン3.0.57をリリースしました。
    • New Relic CPMのアップデートと、お客様がアプリケーションのセキュリティを確保するために行うべきベスト・プラクティスをより明確にするために更新しました。
    • FAQセクションを追加しました。
  • 2021年12月13日NR21-04発表

セキュリティの脆弱性をNew Relicに報告

ニューレリックは、お客様とお客様のデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見された場合、New Relic の協調的開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 セキュリティ脆弱性の報告に関するドキュメント をご覧ください。

Copyright © 2022 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.