影響を受けるバージョン: 3.0.59 以前のバージョン
Fixed In: 3.0.60
Vulnerability Identifier: NR22-01
優先度: 高
概要
New Relic は、Containerized Private Minion (CPM) バージョン 3.0.60 をリリースし、特に log4j バージョン 1.2.17 への副次的な依存を排除しました。
New Relic は、バージョン 3.0.60 より前の Containerized Private Minions のビルドパッケージのサブ依存関係に log4j バージョン 1.2.17 が含まれていることを確認しました。Log4j バージョン 1.x には、 CVE-2021-4104 および CVE-2019-17571 という優れた高難度・重要度の CVE があり、これらの問題に対処するための Apache Foundation からのサポートを受けられなくなりました。
アクションアイテム
お客様におかれましては、コンテナ化されたすべてのプライベートミニオンを、できるだけ早く バージョン 3.0.60 以降にアップグレードされることを強くお勧めします。このバージョンでは、依存関係にある log4j バージョン 1.x の使用を完全に排除しています。CPM のアップデートは、Helm Charts バージョン 1.0.48 から行うことができます。
このステップでは、New Relic Containerized Private Minion (CPM) のみの log4j 脆弱性を修正します。他の New Relic 製品の log4j に関するその他のセキュリティガイダンスについては、New Relic のセキュリティ速報を のドキュメントページ でご確認ください。
アプリケーションでlog4jを直接使用しているお客様は、 Apache Log4j Security Vulnerabilitiesのページ をよく見て、考慮すべき改善策の詳細を確認してください。
テクニカルリンク
よくあるご質問
既にContainerized Private Minion (CPM)のバージョン3.0.58にアップデートしていますが、バージョン3.0.60にアップデートする必要がありますか?
はい、New Relic は、Containerized Private Minion ビルドパッケージで特定された log4j サブデペンデンシーの重要な脆弱性に対処するため、現時点でアップデートすることを強く推奨します。Apache Foundation は、log4j バージョン 1.x はサポートが終了しており、未解決の脆弱性があるため、すべての使用を推奨しています。CPM 3.0.60 およびそれ以降のバージョンは、log4j バージョン 1.x を使用せずに利用できる唯一の CPM バージョンです。
出版物の歴史
2022年1月13日 - NR22-01発行