• 로그인지금 시작하기

사용자의 편의를 위해 제공되는 기계 번역입니다.

영문본과 번역본이 일치하지 않는 경우 영문본이 우선합니다. 보다 자세한 내용은 이 페이지를 방문하시기 바랍니다.

문제 신고

Apache Log4j 치명적인 취약점 CVE-2021-44228 - Java

영향을 받는 버전: (a) 4.12.0과 6.5.1 사이의 모든 에이전트 버전; (b) 7.0.0 및 7.4.1

수정 버전: 6.5.2, 6.5.3, 6.5.4, 7.4.2, 7.4.3 및 7.5.0

취약점 식별자: NR21-03

추가 공격 벡터가 호스트 시스템에 대한 쓰기 권한을 허용하지 않는 한 식별된 새로운 취약점(CVE-2021-44832)이 New Relic의 Java 에이전트에 영향을 미치지 않는 것으로 확인되었습니다. 그럼에도 불구하고 New Relic Java 에이전트의 최신 버전은 최신 Apache 버전의 log4j(현재 CVE-2021-44832를 패치하는 버전 2.17.1(Java 8) 및 2.12.4(Java 7))를 사용합니다.

또한 New Relic의 Java 에이전트는 CVE-2021-45046 또는 CVE-2021-45105에 취약하지 않은 것으로 확인되었습니다. 이는 에이전트의 log4j 사용이 취약점의 필수 측면인 스레드 컨텍스트 맵 입력 데이터를 사용하거나 지원하지 않는 래퍼 인터페이스 뒤에 있기 때문입니다. 그러나 CVE-2021-44228에 대한 포괄적인 보호를 위해 최소 6.5.2 또는 7.4.2 릴리스로 업데이트하는 것이 좋습니다.

새 버전의 log4j를 사용할 수 있게 되면 계속해서 새 버전의 에이전트를 출시할 것입니다.

New Relic Java 에이전트 버전

아파치 log4j 버전

6.5.1

2.15.0

6.5.2

2.12.2

6.5.3

2.12.3

6.5.4

2.12.4

7.4.1

2.15.0

7.4.2

2.16.0

7.4.3

2.17.0

7.5.0+

2.17.1

요약

New Relic은 악의적인 행위자가 로그 메시지 또는 로그 메시지 매개변수를 사용하여 데이터를 유출하거나 임의의 코드를 실행할 수 있는 오픈 소스 log4j 프레임워크의 심각한 취약점을 해결하기 위해 새 버전의 Java 에이전트를 출시했습니다.

New Relic은 새로운 정보가 제공되면 이 보안 게시판과 고객 지침을 업데이트할 것입니다.

작업 항목

New Relic Java 에이전트에서 CVE 2021-44228을 수정하려면 가능한 한 빨리 에이전트 릴리스 6.5.2 이상(Java 7 이상 필요) 또는 7.4.2 이상(Java 8 이상 필요)으로 업그레이드하는 것이 좋습니다.

에이전트 버전 6.5.2 또는 7.4.2로 이미 업그레이드한 경우 CVE 2021-44228로부터 보호되며 지금은 다시 업그레이드할 필요가 없습니다. 우리는 New Relic의 Java 에이전트가 CVE-2021-45046 또는 CVE-2021-45105에 취약하지 않다고 결정했습니다. 에이전트가 log4j를 사용하는 것은 스레드 컨텍스트 맵 입력 데이터를 사용하거나 지원하지 않는 래퍼 인터페이스 뒤에 있기 때문입니다. 취약점의 측면. CVE-2021-44228에 대한 포괄적인 보호를 위해 최소 6.5.2 또는 7.4.2 릴리스로 업데이트하는 것이 좋습니다.

중요

6.5.2 또는 7.4.2 이전 버전의 에이전트를 사용 중이거나 에이전트 버전을 업그레이드할 수 없는 경우 에이전트 로깅을 비활성화하는 것이 좋습니다.

Java 에이전트 로깅을 비활성화하는 방법

Java 에이전트 로깅 수준을 OFF 으로 설정하여 CVE-2021-44228을 수정할 수 있습니다. 이렇게 하려면 다음 옵션 중 하나를 사용하십시오.

  • 로컬 에이전트 구성 파일 수정( log_level 매개변수 검색)(다시 시작할 필요 없음)
  • newrelic.config.log_level=OFF 시스템 속성 정의(다시 시작해야 함)
  • NEW_RELIC_LOG_LEVEL=OFF 환경 변수 설정(다시 시작 필요)

에이전트 로그 파일을 확인하여 에이전트 로깅이 비활성화되었는지 확인할 수 있습니다. 작성 중인 새 메시지가 표시되지 않아야 합니다.

Java 에이전트 로깅을 비활성화해도 에이전트의 기능에는 영향을 미치지 않으며 관찰 가능성이 저하되지 않습니다.

참고: 이 해결 방법은 에이전트 버전을 업데이트할 수 있을 때까지 임시 솔루션으로만 권장됩니다.

상황이 변경되는 경우 추가 정보와 해결을 위한 추가 단계를 공유할 것입니다.

애플리케이션에서 직접 log4j를 사용하는 경우 Apache Log4j 보안 취약성 을 주의 깊게 검토해야 합니다. 이 페이지에서는 고려할 수 있는 수정 세부 정보를 제공합니다.

컨테이너화된 개인 미니언

위의 단계는 New Relic Java 에이전트만 수정합니다. 또한 New Relic Containerized Private Minion을 업데이트해야 할 수도 있습니다. 자세한 내용은 NR21-04 를 참조하십시오.

기술적 취약점 정보

자주 묻는 질문

출판 이력

  • 2022년 3월 3일: NR21-03 개정판:

    • Java 에이전트 버전 6.5.4 및 7.5.0에 대한 업데이트된 참조
  • 2021년 12월 29일: NR21-03 개정:

    • CVE-2021-44832에 대한 에이전트 결과를 반영하도록 업데이트됨
  • 2021년 12월 22일: NR21-03 주요 개정:

    • CVE-2021-44228, CVE-2021-45046 및 CVE-2021-45105를 해결하는 데 사용할 수 있는 새 수정 버전 6.5.3 및 7.4.3입니다.
    • 고객이 수정 결정을 내리는 데 도움이 되도록 각 취약점에 대한 악용 가능성 위험 평가를 추가합니다.
    • 에이전트 로깅을 비활성화하는 고객의 기능 부족에 대한 콘텐츠 추가.
  • 2021년 12월 17일: NR21-03 개정:

    • CVE-2021-45046의 심각도 및 기술 설명 변경
  • 2021년 12월 16일: NR21-03 주요 개정:

    • CVE-2021-44228 및 CVE-2021-45046을 모두 해결하는 데 사용할 수 있는 새 수정 버전 6.5.2입니다.
    • CVE-2021-44228 악용으로부터 보호하기 위한 log4j 버전 2.15.0의 충분성에 관한 지침 변경.
    • 권장 해결 방법을 변경합니다.
    • CVE-2021-44228의 NIST 기술 설명 업데이트.
  • 2021년 12월 14일: NR21-03 주요 개정:

    • CVE-2021-44228 및 CVE-2021-45046을 모두 해결하는 데 사용할 수 있는 새 수정 버전 7.4.2입니다.
    • 추가 해결 방법 옵션을 포함하도록 업데이트되었습니다.
    • New Relic Java 에이전트 업데이트와 고객이 애플리케이션을 보호하기 위해 취해야 하는 모범 사례 간의 명확성을 제공하도록 업데이트되었습니다.
    • NIST(National Institute of Standards and Technology)의 기술적 취약성 설명 및 CVSS 점수를 추가했습니다.
  • 2021년 12월 13일: NR21-03이 더 명확한 해결 방법 지침 및 FAQ를 포함하도록 업데이트되었습니다.

  • 2021년 12월 10일: NR21-03 게시됨

New Relic에 보안 취약점 보고

New Relic은 고객과 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 에 대한 설명서를 참조하십시오.

Copyright © 2022 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.