
2021年12月9日、Apache Log4j 2プロジェクトは、GitHubの公開プロジェクトを通じてゼロデイ脆弱性を公開しました。多くのお客様がそうであるように、私たちもエージェントのロギングにlog4jフレームワークを使用しているため、できるだけ早くエージェントのアップデート版を公開したいと考えていました。本投稿はLog4j Zero Day Vulnerability and the New Relic Java Agentの抄訳になっています。
このたび、New Relic Java エージェントのアップデート版 6.5.1 および 7.4.1 を公開しましたので、すべてのお客様にできるだけ早くこれらのバージョンにアップグレードしていただくことをお勧めします。New Relicのセキュリティ情報Security Bulletin NR21-03としても公開しています。
Java 7 を使用している場合はバージョン 6.5.1 へのアップグレードをお勧めしますが、Java 8 以上を使用している場合はより新しいバージョン 7.4.1 へのアップグレードを強くお勧めします。
繰り返しになりますが、この脆弱性が広く知られており、再現が容易であることから、できるだけ早くNew RelicのJavaエージェントをアップグレードすることをお勧めします。
また、アプリケーションに log4j フレームワークを使用している場合は、アプリケーションの脆弱性対策のためにバージョン 2.15.0 にアップグレードすることを忘れないでください (アプリケーションがlog4j を直接参照して使用している場合は、New Relic エージェントのバージョンをアップグレードするだけではアプリケーション自体の問題は修正されません)。
Java エージェントや log4j のバージョンをアップグレードできない場合は、アップグレードできるようになるまで、公開されている一時的な回避策である log4j2.formatMsgNoLookups=true システムプロパティの設定を検討してください。詳細は公開されている情報をご参照ください。
また、APMを利用されているアプリケーションでどのライブラリのどのバージョンを利用しているかはAPMのUIから確認できます。New Relic APMを利用して依存ライブラリを調べる方法をご参照ください。
追加参考文献
- CVE-2021-44228
- CVE-2021-44228 – Log4j 2 Vulnerability Analysis
- Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package 17
- Exploiting JNDI Injections in Java
- Apache Log4j Issue
- Apache Log4j Release Notes
- Apache Log4j Security
- New Relic Security Bulletin NR21-03
- New Relic Java Agent Release Notes
Die in diesem Blog geäußerten Ansichten sind die des Autors und spiegeln nicht unbedingt die Ansichten von New Relic wider. Alle vom Autor angebotenen Lösungen sind umgebungsspezifisch und nicht Teil der kommerziellen Lösungen oder des Supports von New Relic. Bitte besuchen Sie uns exklusiv im Explorers Hub (discuss.newrelic.com) für Fragen und Unterstützung zu diesem Blogbeitrag. Dieser Blog kann Links zu Inhalten auf Websites Dritter enthalten. Durch die Bereitstellung solcher Links übernimmt, garantiert, genehmigt oder billigt New Relic die auf diesen Websites verfügbaren Informationen, Ansichten oder Produkte nicht.