2021年12月9日、Apache Log4j 2プロジェクトは、GitHubの公開プロジェクトを通じてゼロデイ脆弱性を公開しました。多くのお客様がそうであるように、私たちもエージェントのロギングにlog4jフレームワークを使用しているため、できるだけ早くエージェントのアップデート版を公開したいと考えていました。本投稿はLog4j Zero Day Vulnerability and the New Relic Java Agentの抄訳になっています。
このたび、New Relic Java エージェントのアップデート版 6.5.1 および 7.4.1 を公開しましたので、すべてのお客様にできるだけ早くこれらのバージョンにアップグレードしていただくことをお勧めします。New Relicのセキュリティ情報Security Bulletin NR21-03としても公開しています。
Java 7 を使用している場合はバージョン 6.5.1 へのアップグレードをお勧めしますが、Java 8 以上を使用している場合はより新しいバージョン 7.4.1 へのアップグレードを強くお勧めします。
繰り返しになりますが、この脆弱性が広く知られており、再現が容易であることから、できるだけ早くNew RelicのJavaエージェントをアップグレードすることをお勧めします。
また、アプリケーションに log4j フレームワークを使用している場合は、アプリケーションの脆弱性対策のためにバージョン 2.15.0 にアップグレードすることを忘れないでください (アプリケーションがlog4j を直接参照して使用している場合は、New Relic エージェントのバージョンをアップグレードするだけではアプリケーション自体の問題は修正されません)。
Java エージェントや log4j のバージョンをアップグレードできない場合は、アップグレードできるようになるまで、公開されている一時的な回避策である log4j2.formatMsgNoLookups=true システムプロパティの設定を検討してください。詳細は公開されている情報をご参照ください。
また、APMを利用されているアプリケーションでどのライブラリのどのバージョンを利用しているかはAPMのUIから確認できます。New Relic APMを利用して依存ライブラリを調べる方法をご参照ください。
追加参考文献
- CVE-2021-44228
- CVE-2021-44228 – Log4j 2 Vulnerability Analysis
- Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package 17
- Exploiting JNDI Injections in Java
- Apache Log4j Issue
- Apache Log4j Release Notes
- Apache Log4j Security
- New Relic Security Bulletin NR21-03
- New Relic Java Agent Release Notes
Les opinions exprimées sur ce blog sont celles de l'auteur et ne reflètent pas nécessairement celles de New Relic. Toutes les solutions proposées par l'auteur sont spécifiques à l'environnement et ne font pas partie des solutions commerciales ou du support proposés par New Relic. Veuillez nous rejoindre exclusivement sur l'Explorers Hub (discuss.newrelic.com) pour toute question et assistance concernant cet article de blog. Ce blog peut contenir des liens vers du contenu de sites tiers. En fournissant de tels liens, New Relic n'adopte, ne garantit, n'approuve ou n'approuve pas les informations, vues ou produits disponibles sur ces sites.
