영향을 받는 버전: (a) 4.12.0과 6.5.1 사이의 모든 에이전트 버전; (b) 7.0.0 및 7.4.1
수정 버전: 6.5.2, 6.5.3, 6.5.4, 7.4.2, 7.4.3 및 7.5.0
취약점 식별자: NR21-03
추가 공격 벡터가 호스트 시스템에 대한 쓰기 권한을 허용하지 않는 한 식별된 새로운 취약점(CVE-2021-44832)이 New Relic의 Java 에이전트에 영향을 미치지 않는 것으로 확인되었습니다. 그럼에도 불구하고 New Relic Java 에이전트의 최신 버전은 최신 Apache 버전의 log4j(현재 CVE-2021-44832를 패치하는 버전 2.17.1(Java 8) 및 2.12.4(Java 7))를 사용합니다.
또한 New Relic의 Java 에이전트는 CVE-2021-45046 또는 CVE-2021-45105에 취약하지 않은 것으로 확인되었습니다. 이는 에이전트의 log4j 사용이 취약점의 필수 측면인 스레드 컨텍스트 맵 입력 데이터를 사용하거나 지원하지 않는 래퍼 인터페이스 뒤에 있기 때문입니다. 그러나 CVE-2021-44228에 대한 포괄적인 보호를 위해 최소 6.5.2 또는 7.4.2 릴리스로 업데이트하는 것이 좋습니다.
새 버전의 log4j를 사용할 수 있게 되면 계속해서 새 버전의 에이전트를 출시할 것입니다.
New Relic Java 에이전트 버전 | 아파치 log4j 버전 |
---|---|
6.5.1 | 2.15.0 |
6.5.2 | 2.12.2 |
6.5.3 | 2.12.3 |
6.5.4 | 2.12.4 |
7.4.1 | 2.15.0 |
7.4.2 | 2.16.0 |
7.4.3 | 2.17.0 |
7.5.0+ | 2.17.1 |
요약
New Relic은 악의적인 행위자가 로그 메시지 또는 로그 메시지 매개변수를 사용하여 데이터를 유출하거나 임의의 코드를 실행할 수 있는 오픈 소스 log4j 프레임워크의 심각한 취약점을 해결하기 위해 새 버전의 Java 에이전트를 출시했습니다.
New Relic은 새로운 정보가 제공되면 이 보안 게시판과 고객 지침을 업데이트할 것입니다.
작업 항목
New Relic Java 에이전트에서 CVE 2021-44228을 수정하려면 가능한 한 빨리 에이전트 릴리스 6.5.2 이상(Java 7 이상 필요) 또는 7.4.2 이상(Java 8 이상 필요)으로 업그레이드하는 것이 좋습니다.
에이전트 버전 6.5.2 또는 7.4.2로 이미 업그레이드한 경우 CVE 2021-44228로부터 보호되며 지금은 다시 업그레이드할 필요가 없습니다. 우리는 New Relic의 Java 에이전트가 CVE-2021-45046 또는 CVE-2021-45105에 취약하지 않다고 결정했습니다. 에이전트가 log4j를 사용하는 것은 스레드 컨텍스트 맵 입력 데이터를 사용하거나 지원하지 않는 래퍼 인터페이스 뒤에 있기 때문입니다. 취약점의 측면. CVE-2021-44228에 대한 포괄적인 보호를 위해 최소 6.5.2 또는 7.4.2 릴리스로 업데이트하는 것이 좋습니다.
중요
6.5.2 또는 7.4.2 이전 버전의 에이전트를 사용 중이거나 에이전트 버전을 업그레이드할 수 없는 경우 에이전트 로깅을 비활성화하는 것이 좋습니다.
Java 에이전트 로깅을 비활성화하는 방법
Java 에이전트 로깅 수준을 OFF
으로 설정하여 CVE-2021-44228을 수정할 수 있습니다. 이렇게 하려면 다음 옵션 중 하나를 사용하십시오.
- 로컬 에이전트 구성 파일 수정(
log_level
매개변수 검색)(다시 시작할 필요 없음) newrelic.config.log_level=OFF
시스템 속성 정의(다시 시작해야 함)NEW_RELIC_LOG_LEVEL=OFF
환경 변수 설정(다시 시작 필요)
에이전트 로그 파일을 확인하여 에이전트 로깅이 비활성화되었는지 확인할 수 있습니다. 작성 중인 새 메시지가 표시되지 않아야 합니다.
Java 에이전트 로깅을 비활성화해도 에이전트의 기능에는 영향을 미치지 않으며 관찰 가능성이 저하되지 않습니다.
참고: 이 해결 방법은 에이전트 버전을 업데이트할 수 있을 때까지 임시 솔루션으로만 권장됩니다.
상황이 변경되는 경우 추가 정보와 해결을 위한 추가 단계를 공유할 것입니다.
애플리케이션에서 직접 log4j를 사용하는 경우 Apache Log4j 보안 취약성 을 주의 깊게 검토해야 합니다. 이 페이지에서는 고려할 수 있는 수정 세부 정보를 제공합니다.
컨테이너화된 개인 미니언
위의 단계는 New Relic Java 에이전트만 수정합니다. 또한 New Relic Containerized Private Minion을 업데이트해야 할 수도 있습니다. 자세한 내용은 NR21-04 를 참조하십시오.
기술적 취약점 정보
- CVE-2021-44228 CVSS 10.0
- CVE-2021-45046 CVSS 9.0
- CVE-2021-45105 CVSS 7.5
- CVE-2021-44832 CVSS 6.6
- Apache Log4j 취약점과 관련된 New Relic 고객을 위한 보안 지침
- New Relic을 사용하여 취약한 log4j 버전이 있는 시스템을 식별하는 방법
- Apache log4j 보안 취약점
- New Relic 지원 포럼
자주 묻는 질문
출판 이력
2022년 3월 3일: NR21-03 개정판:
- Java 에이전트 버전 6.5.4 및 7.5.0에 대한 업데이트된 참조
2021년 12월 29일: NR21-03 개정:
- CVE-2021-44832에 대한 에이전트 결과를 반영하도록 업데이트됨
2021년 12월 22일: NR21-03 주요 개정:
- CVE-2021-44228, CVE-2021-45046 및 CVE-2021-45105를 해결하는 데 사용할 수 있는 새 수정 버전 6.5.3 및 7.4.3입니다.
- 고객이 수정 결정을 내리는 데 도움이 되도록 각 취약점에 대한 악용 가능성 위험 평가를 추가합니다.
- 에이전트 로깅을 비활성화하는 고객의 기능 부족에 대한 콘텐츠 추가.
2021년 12월 17일: NR21-03 개정:
- CVE-2021-45046의 심각도 및 기술 설명 변경
2021년 12월 16일: NR21-03 주요 개정:
- CVE-2021-44228 및 CVE-2021-45046을 모두 해결하는 데 사용할 수 있는 새 수정 버전 6.5.2입니다.
- CVE-2021-44228 악용으로부터 보호하기 위한 log4j 버전 2.15.0의 충분성에 관한 지침 변경.
- 권장 해결 방법을 변경합니다.
- CVE-2021-44228의 NIST 기술 설명 업데이트.
2021년 12월 14일: NR21-03 주요 개정:
- CVE-2021-44228 및 CVE-2021-45046을 모두 해결하는 데 사용할 수 있는 새 수정 버전 7.4.2입니다.
- 추가 해결 방법 옵션을 포함하도록 업데이트되었습니다.
- New Relic Java 에이전트 업데이트와 고객이 애플리케이션을 보호하기 위해 취해야 하는 모범 사례 간의 명확성을 제공하도록 업데이트되었습니다.
- NIST(National Institute of Standards and Technology)의 기술적 취약성 설명 및 CVSS 점수를 추가했습니다.
2021년 12월 13일: NR21-03이 더 명확한 해결 방법 지침 및 FAQ를 포함하도록 업데이트되었습니다.
2021년 12월 10일: NR21-03 게시됨
New Relic에 보안 취약점 보고
New Relic은 고객과 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 에 대한 설명서를 참조하십시오.