• EnglishEspañol日本語한국어Português
  • EntrarComeçar agora

Esta tradução de máquina é fornecida para sua comodidade.

In the event of any inconsistency between the English version and the translated version, the English versionwill take priority. Please visit this page for more information.

Criar um problema

Apache Log4j Critical vulnerabilidades CVE-2021-44228 - CPM

Resumo

New Relic lançou Containerized minion privado (chamadas por minuto) versão 3.0.58 em 21/12/2021 para abordar vulnerabilidades críticas CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105 na framework de código aberto Apache Log4j . Um ator malicioso pode ser capaz de executar código arbitrário usando o parâmetro mensagem do log ou mensagem do log.

A New Relic também lançou o Helm Charts versão 1.0.46 em 21/12/2021 para solucionar essas vulnerabilidades. Helm Charts versão 1.0.46 contém as chamadas por minuto versão 3.0.58.

New Relic atualizará este Boletim de Segurança e as orientações de nossos clientes à medida que novas informações forem disponibilizadas.

Vulnerability identifier: NR21-04

Priority: Crítico

Software afetado

Versões afetadas: Todas as versões do minion privado (chamadas por minuto) em contêineres suportadas anteriores à 3.0.58

Versão fixa: 3.0.58, também disponível através do Helm Charts versão 1.0.46

Versão New Relic Containerized minion privado (chamadas por minuto)

Versão do Apache log4j

3.0.55

2.15.0

3.0.57

2.16.0

3.0.58

2.17.0

Se você usa Helm Charts para atualizar suas chamadas por minuto configuração, você desejará implementar New Relic Helm Charts versão 1.0.46. Isso atualizará suas chamadas por minuto para a versão 3.0.58.

Itens de ação

Para remediar CVE 2021-44228, CVE 2021-45046 e CVE 2021-45105 no minion privado New Relic Containerized, recomendamos que os clientes atualizem para a versão 3.0.58 O mais breve possível. Esta versão foi atualizada para usar a versão 2.17.0 corrigida da framework Apache Log4j. Você pode atualizar suas chamadas por minuto através do Helm Charts versão 1.0.46.

Esta etapa corrigirá apenas seu minion privado New Relic Containerized (chamadas por minuto). Também pode ser necessário atualizar seu agente Java do New Relic. Consulte a NR21-03 para mais informações.

Customers using log4j directly in their applications should carefully review the Apache Log4j Security Vulnerabilities page for remediation details that should be considered.

Informações sobre vulnerabilidades

Uma vulnerabilidade de alto nível foi divulgada publicamente para a framework log4j em 09/12/2021. Um invasor é capaz de executar código arbitrário usando o parâmetro mensagem do log ou mensagem do log.

Perguntas frequentes

Histórico de publicação

  • 22 de dezembro de 2021: Revisão Principal da NR21-04:

    • Nova correção versão 3.0.58 disponível para endereçar CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105.
    • Adição do Helm Charts versão 1.0.46 que contém as chamadas por minuto 3.0.58 atualizar.
  • 17 de dezembro de 2021: Revisão da NR21-04: Alteração na gravidade e descrição técnica da CVE-2021-45046.

  • 16 de dezembro de 2021: Revisão Principal da NR21-04:

    • Alteração na orientação quanto à suficiência de chamadas por minuto 3.0.55 contendo log4j versão 2.15.0 para proteção contra exploração de CVE-2021-44228.
    • Adição do Helm Charts versão 1.0.45 que contém as chamadas por minuto 3.0.57 atualizar.
    • Atualização da descrição técnica NIST de CVE-2021-44228.
  • 14 de dezembro de 2021: Revisão Principal da NR21-04:

    • Nova correção versão 3.0.57 lançado para abordar CVE-2021-44228 e CVE-2021-45046.
    • Atualizado para fornecer melhor clareza entre as atualizações de chamadas por minuto New Relic e as práticas recomendadas que os clientes devem seguir para proteger seu aplicativo.
    • Adicionada seção de perguntas frequentes.
  • 13 de dezembro de 2021: publicada NR21-04

Relate vulnerabilidades de segurança à New Relic

A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte nossa documentação sobre como relatar vulnerabilidades de segurança.

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.