요약
New Relic은 오픈 소스 Apache Log4j 프레임워크의 치명적인 취약점 CVE-2021-44228, CVE-2021-45046 및 CVE-2021-45105를 해결하기 위해 2021년 12월 21일에 CPM(Containerized Private Minion) 버전 3.0.58을 출시했습니다. 악의적인 행위자는 로그 메시지 또는 로그 메시지 매개변수를 사용하여 임의의 코드를 실행할 수 있습니다.
New Relic은 또한 이러한 취약점을 해결하기 위해 2021-12-21에 Helm Charts 버전 1.0.46을 출시했습니다. Helm Charts 버전 1.0.46에는 CPM 버전 3.0.58이 포함되어 있습니다.
New Relic은 새로운 정보가 제공되면 이 보안 게시판과 고객 지침을 업데이트할 것입니다.
취약점 식별자: NR21-04
우선 순위: 중요
영향을 받는 소프트웨어
영향을 받는 버전: 3.0.58 이전의 지원되는 모든 CPM(Containerized Private Minion) 버전
고정 버전: 3.0.58, Helm Charts 버전 1.0.46에서도 사용 가능
New Relic Containerized Private Minion(CPM) 버전 | 아파치 log4j 버전 |
---|---|
3.0.55 | 2.15.0 |
3.0.57 | 2.16.0 |
3.0.58 | 2.17.0 |
Helm Charts를 사용하여 CPM 구성을 업데이트하는 경우 New Relic Helm Charts 버전 1.0.46을 구현하는 것이 좋습니다. 이렇게 하면 CPM이 버전 3.0.58로 업데이트됩니다.
작업 항목
New Relic Containerized Private Minion의 CVE 2021-44228, CVE 2021-45046 및 CVE 2021-45105를 수정하려면 가능한 한 빨리 버전 3.0.58로 업그레이드하는 것이 좋습니다. 이 버전은 Apache Log4j 프레임워크의 수정된 2.17.0 버전을 사용하도록 업데이트되었습니다. Helm Charts 버전 1.0.46을 통해 CPM을 업데이트할 수 있습니다.
이 단계는 New Relic Containerized Private Minion(CPM)만 수정합니다. New Relic Java 에이전트를 업데이트해야 할 수도 있습니다. 자세한 내용은 NR21-03 을 참조하십시오.
애플리케이션에서 직접 log4j를 사용하는 고객은 Apache Log4j 보안 취약성 페이지에서 고려해야 할 수정 세부 정보를 주의 깊게 검토해야 합니다.
취약점 정보
2021-12-09에 log4j 프레임워크에 대한 높은 수준의 취약점이 공개되었습니다. 공격자는 로그 메시지 또는 로그 메시지 매개변수를 사용하여 임의의 코드를 실행할 수 있습니다.
- CVE-2021-44228 CVSS 10.0
- CVE-2021-45046 CVSS 9.0
- CVE-2021-45105 CVSS 7.5
- Apache Log4j 취약점과 관련된 New Relic 고객을 위한 보안 지침
- New Relic을 사용하여 취약한 log4j 버전이 있는 시스템을 식별하는 방법
- Apache log4j 보안 취약점
- New Relic 지원 포럼
자주 묻는 질문
출판 이력
2021년 12월 22일: NR21-04 주요 개정:
- CVE-2021-44228, CVE-2021-45046 및 CVE-2021-45105를 해결하는 데 사용할 수 있는 새 수정 버전 3.0.58입니다.
- CPM 3.0.58 업데이트가 포함된 Helm 차트 버전 1.0.46이 추가되었습니다.
2021년 12월 17일: NR21-04 개정: CVE-2021-45046의 심각도 및 기술 설명 변경.
2021년 12월 16일: NR21-04 주요 개정:
- CVE-2021-44228 악용으로부터 보호하기 위해 log4j 버전 2.15.0을 포함하는 CPM 3.0.55의 충분성에 관한 지침 변경.
- CPM 3.0.57 업데이트가 포함된 Helm 차트 버전 1.0.45가 추가되었습니다.
- CVE-2021-44228의 NIST 기술 설명 업데이트.
2021년 12월 14일: NR21-04 주요 개정:
- CVE-2021-44228 및 CVE-2021-45046을 모두 해결하기 위해 새로운 수정 버전 3.0.57이 릴리스되었습니다.
- New Relic CPM 업데이트와 고객이 응용 프로그램을 보호하기 위해 취해야 하는 모범 사례 간에 더 명확한 정보를 제공하도록 업데이트되었습니다.
- FAQ 섹션을 추가했습니다.
2021년 12월 13일: NR21-04 게시됨
New Relic에 보안 취약점 보고
New Relic은 고객과 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 에 대한 설명서를 참조하십시오.