2021年12月9日、Apache Log4j 2プロジェクトは、GitHubの公開プロジェクトを通じてゼロデイ脆弱性を公開しました。多くのお客様がそうであるように、私たちもエージェントのロギングにlog4jフレームワークを使用しているため、できるだけ早くエージェントのアップデート版を公開したいと考えていました。本投稿はLog4j Zero Day Vulnerability and the New Relic Java Agentの抄訳になっています。
このたび、New Relic Java エージェントのアップデート版 6.5.1 および 7.4.1 を公開しましたので、すべてのお客様にできるだけ早くこれらのバージョンにアップグレードしていただくことをお勧めします。New Relicのセキュリティ情報Security Bulletin NR21-03としても公開しています。
Java 7 を使用している場合はバージョン 6.5.1 へのアップグレードをお勧めしますが、Java 8 以上を使用している場合はより新しいバージョン 7.4.1 へのアップグレードを強くお勧めします。
繰り返しになりますが、この脆弱性が広く知られており、再現が容易であることから、できるだけ早くNew RelicのJavaエージェントをアップグレードすることをお勧めします。
また、アプリケーションに log4j フレームワークを使用している場合は、アプリケーションの脆弱性対策のためにバージョン 2.15.0 にアップグレードすることを忘れないでください (アプリケーションがlog4j を直接参照して使用している場合は、New Relic エージェントのバージョンをアップグレードするだけではアプリケーション自体の問題は修正されません)。
Java エージェントや log4j のバージョンをアップグレードできない場合は、アップグレードできるようになるまで、公開されている一時的な回避策である log4j2.formatMsgNoLookups=true システムプロパティの設定を検討してください。詳細は公開されている情報をご参照ください。
また、APMを利用されているアプリケーションでどのライブラリのどのバージョンを利用しているかはAPMのUIから確認できます。New Relic APMを利用して依存ライブラリを調べる方法をご参照ください。
追加参考文献
- CVE-2021-44228
- CVE-2021-44228 – Log4j 2 Vulnerability Analysis
- Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package 17
- Exploiting JNDI Injections in Java
- Apache Log4j Issue
- Apache Log4j Release Notes
- Apache Log4j Security
- New Relic Security Bulletin NR21-03
- New Relic Java Agent Release Notes
Las opiniones expresadas en este blog son las del autor y no reflejan necesariamente las opiniones de New Relic. Todas las soluciones ofrecidas por el autor son específicas del entorno y no forman parte de las soluciones comerciales o el soporte ofrecido por New Relic. Únase a nosotros exclusivamente en Explorers Hub ( discus.newrelic.com ) para preguntas y asistencia relacionada con esta publicación de blog. Este blog puede contener enlaces a contenido de sitios de terceros. Al proporcionar dichos enlaces, New Relic no adopta, garantiza, aprueba ni respalda la información, las vistas o los productos disponibles en dichos sitios.
