Versions affected: Todas as versões do agente entre (a) 4.12.0 e 6.5.1; e (b) 7.0.0 e 7.4.1
Fix versions: 6.5.2, 6.5.3, 6.5.4, 7.4.2, 7.4.3 e 7.5.0
Vulnerability identifier: NR21-03
Determinamos que as novas vulnerabilidades identificadas (CVE-2021-44832) NÃO afetam o agente Java da New Relic, a menos que um vetor de ataque adicional permita permissões de gravação no sistema host. No entanto, as versões mais recentes do agente Java New Relic usarão as versões mais recentes do Apache do log4j (atualmente versões 2.17.1 (Java 8) e 2.12.4 (Java 7), que corrige CVE-2021-44832).
Também determinamos que o agente Java da New Relic NÃO é vulnerável a CVE-2021-45046 ou CVE-2021-45105. Isso ocorre porque o uso do log4j pelo agente fica atrás de uma interface wrapper que não usa ou suporta dados de entrada do Thread Context Map, um aspecto necessário das vulnerabilidades. No entanto, recomendamos a atualização para pelo menos a versão 6.5.2 ou 7.4.2 para garantir proteção abrangente contra CVE-2021-44228.
À medida que novas versões do log4j forem disponibilizadas, continuaremos a lançar novas versões do agente.
New Relic | Versão do Apache log4j |
---|---|
6.5.1 | 2.15.0 |
6.5.2 | 2.12.2 |
6.5.3 | 2.12.3 |
6.5.4 | 2.12.4 |
7.4.1 | 2.15.0 |
7.4.2 | 2.16.0 |
7.4.3 | 2.17.0 |
7.5.0+ | 2.17.1 |
Resumo
New Relic lançou novas versões do agente Java para solucionar vulnerabilidades críticas na framework do código aberto log4j que podem permitir que um ator mal-intencionado exfiltre dados ou execute código arbitrário usando o parâmetro mensagem do log ou mensagem do log.
New Relic atualizará este Boletim de Segurança e as orientações de nossos clientes à medida que novas informações forem disponibilizadas.
Itens de ação
Para corrigir o CVE 2021-44228 no agente Java New Relic , recomendamos que os clientes atualizem para o agente versão 6.5.2 ou superior (requer Java 7 ou superior) ou 7.4.2 ou superior (requer Java 8 ou superior) o mais rápido possível.
Se você já atualizou para as versões 6.5.2 ou 7.4.2 do agente, você está protegido contra CVE 2021-44228 e não precisa atualizar novamente neste momento. Determinamos que o agente Java do New Relic NÃO é suscetível a CVE-2021-45046 ou CVE-2021-45105, já que o uso do agente log4j fica atrás de uma interface wrapper que não usa ou suporta dados de entrada do Thread Context Map, um aspecto obrigatório das vulnerabilidades. Recomendamos atualizar pelo menos para a versão 6.5.2 ou 7.4.2 para garantir proteção abrangente contra CVE-2021-44228.
Importante
Se você estiver em uma versão do agente anterior à 6.5.2 ou 7.4.2, ou não puder atualizar a versão do agente, recomendamos fortemente que você desative o log do agente.
Como desabilitar o log do agente Java
Você pode definir o nível de registro do agente Java como OFF
para corrigir CVE-2021-44228. Para fazer isso, use qualquer uma das seguintes opções:
- Modifique o arquivo de configuração do agente local (procure o parâmetro
log_level
) (não é necessário reiniciar) - Defina a propriedade do sistema
newrelic.config.log_level=OFF
(é necessário reiniciar) - Defina a variável de ambiente
NEW_RELIC_LOG_LEVEL=OFF
(é necessário reiniciar)
Você pode verificar se o log do agente foi desativado verificando o arquivo de log do agente. Você não deverá ver nenhuma nova mensagem sendo escrita.
A desativação da criação de log do agente Java não afeta a funcionalidade do agente e não haverá degradação na observabilidade.
Note: Esta solução alternativa é recomendada apenas como uma solução temporária até que você possa atualizar a versão do seu agente.
Compartilharemos mais informações e etapas adicionais para correção, se a situação mudar.
If you use log4j directly in your applications, be sure to carefully review the Apache Log4j Security Vulnerabilities. This page provides remediation details for you to consider.
Minion privado em contêiner
A etapa acima corrigirá apenas o agente Java do New Relic. Você também pode precisar atualizar seu minion privado New Relic Containerized. Consulte a NR21-04 para mais informações.
Informações sobre vulnerabilidades técnicas
- CVE-2021-44228 CVSS 10.0
- CVE-2021-45046 CVSS 9.0
- CVE-2021-45105 CVSS 7.5
- CVE-2021-44832 CVSS 6.6
- Orientações de segurança para clientes New Relic relacionadas às vulnerabilidades do Apache Log4j
- Como ajudar a identificar sistemas com versões log4j vulneráveis usando New Relic
- Vulnerabilidades de segurança do Apache log4j
- Fórum de suporte New Relic
Perguntas frequentes
Histórico de publicação
3 de março de 2022: Revisão da NR21-03:
- Referências atualizadas para o agente Java versões 6.5.4 e 7.5.0
29 de dezembro de 2021: Revisão da NR21-03:
- Atualizado para refletir as descobertas do agente em CVE-2021-44832
22 de dezembro de 2021: Revisão Principal da NR21-03:
- Novas versões de correção 6.5.3 e 7.4.3 disponível para endereçar CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105.
- Adição de avaliações de risco de explorabilidade para cada vulnerabilidade, para auxiliar os clientes na tomada de decisões de remediação.
- Adição de conteúdo relacionado ao impacto da falta de funcionalidade para clientes que desativam o registro do agente.
17 de dezembro de 2021: Revisão da NR21-03:
- Alteração na gravidade e descrição técnica de CVE-2021-45046
16 de dezembro de 2021: Revisão Principal da NR21-03:
- Nova correção versão 6.5.2 disponível para resolver CVE-2021-44228 e CVE-2021-45046.
- Alteração na orientação relativa à suficiência do log4j versão 2.15.0 para proteção contra exploração de CVE-2021-44228.
- Alteração na solução alternativa recomendada.
- Atualização da descrição técnica NIST de CVE-2021-44228.
14 de dezembro de 2021: Revisão Principal da NR21-03:
- Nova correção versão 7.4.2 disponível para endereçar CVE-2021-44228 e CVE-2021-45046.
- Atualizado para incluir uma opção de solução alternativa adicional.
- Atualizado para fornecer clareza entre as atualizações do agente Java New Relic e as práticas recomendadas que os clientes devem seguir para proteger seu aplicativo.
- Adicionadas descrições de vulnerabilidades técnicas e pontuações CVSS do Instituto Nacional de Padrões e Tecnologia (NIST).
13 de dezembro de 2021: NR21-03 atualizada para incluir orientações mais explícitas sobre soluções alternativas e perguntas frequentes
10 de dezembro de 2021: publicada NR21-03
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte nossa documentação sobre como relatar vulnerabilidades de segurança.