2021年12月9日、Apache Log4j 2プロジェクトは、GitHubの公開プロジェクトを通じてゼロデイ脆弱性を公開しました。多くのお客様がそうであるように、私たちもエージェントのロギングにlog4jフレームワークを使用しているため、できるだけ早くエージェントのアップデート版を公開したいと考えていました。本投稿はLog4j Zero Day Vulnerability and the New Relic Java Agentの抄訳になっています。
このたび、New Relic Java エージェントのアップデート版 6.5.1 および 7.4.1 を公開しましたので、すべてのお客様にできるだけ早くこれらのバージョンにアップグレードしていただくことをお勧めします。New Relicのセキュリティ情報Security Bulletin NR21-03としても公開しています。
Java 7 を使用している場合はバージョン 6.5.1 へのアップグレードをお勧めしますが、Java 8 以上を使用している場合はより新しいバージョン 7.4.1 へのアップグレードを強くお勧めします。
繰り返しになりますが、この脆弱性が広く知られており、再現が容易であることから、できるだけ早くNew RelicのJavaエージェントをアップグレードすることをお勧めします。
また、アプリケーションに log4j フレームワークを使用している場合は、アプリケーションの脆弱性対策のためにバージョン 2.15.0 にアップグレードすることを忘れないでください (アプリケーションがlog4j を直接参照して使用している場合は、New Relic エージェントのバージョンをアップグレードするだけではアプリケーション自体の問題は修正されません)。
Java エージェントや log4j のバージョンをアップグレードできない場合は、アップグレードできるようになるまで、公開されている一時的な回避策である log4j2.formatMsgNoLookups=true システムプロパティの設定を検討してください。詳細は公開されている情報をご参照ください。
また、APMを利用されているアプリケーションでどのライブラリのどのバージョンを利用しているかはAPMのUIから確認できます。New Relic APMを利用して依存ライブラリを調べる方法をご参照ください。
追加参考文献
- CVE-2021-44228
- CVE-2021-44228 – Log4j 2 Vulnerability Analysis
- Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package 17
- Exploiting JNDI Injections in Java
- Apache Log4j Issue
- Apache Log4j Release Notes
- Apache Log4j Security
- New Relic Security Bulletin NR21-03
- New Relic Java Agent Release Notes
The views expressed on this blog are those of the author and do not necessarily reflect the views of New Relic. Any solutions offered by the author are environment-specific and not part of the commercial solutions or support offered by New Relic. Please join us exclusively at the Explorers Hub (discuss.newrelic.com) for questions and support related to this blog post. This blog may contain links to content on third-party sites. By providing such links, New Relic does not adopt, guarantee, approve or endorse the information, views or products available on such sites.
