APM

Log4jのゼロデイ脆弱性とNew Relic Javaエージェント

公開済み 所要時間:約 3分
ニュース・メディア画面のタイルコラージュ

2021年12月9日、Apache Log4j 2プロジェクトは、GitHubの公開プロジェクトを通じてゼロデイ脆弱性を公開しました。多くのお客様がそうであるように、私たちもエージェントのロギングにlog4jフレームワークを使用しているため、できるだけ早くエージェントのアップデート版を公開したいと考えていました。本投稿はLog4j Zero Day Vulnerability and the New Relic Java Agentの抄訳になっています。

このたび、New Relic Java エージェントのアップデート版 6.5.1 および 7.4.1 を公開しましたので、すべてのお客様にできるだけ早くこれらのバージョンにアップグレードしていただくことをお勧めします。New Relicのセキュリティ情報Security Bulletin NR21-03としても公開しています。

Java 7 を使用している場合はバージョン 6.5.1 へのアップグレードをお勧めしますが、Java 8 以上を使用している場合はより新しいバージョン 7.4.1 へのアップグレードを強くお勧めします。

繰り返しになりますが、この脆弱性が広く知られており、再現が容易であることから、できるだけ早くNew RelicのJavaエージェントをアップグレードすることをお勧めします。

また、アプリケーションに log4j フレームワークを使用している場合は、アプリケーションの脆弱性対策のためにバージョン 2.15.0 にアップグレードすることを忘れないでください (アプリケーションがlog4j を直接参照して使用している場合は、New Relic エージェントのバージョンをアップグレードするだけではアプリケーション自体の問題は修正されません)。

Java エージェントや log4j のバージョンをアップグレードできない場合は、アップグレードできるようになるまで、公開されている一時的な回避策である log4j2.formatMsgNoLookups=true システムプロパティの設定を検討してください。詳細は公開されている情報をご参照ください。

また、APMを利用されているアプリケーションでどのライブラリのどのバージョンを利用しているかはAPMのUIから確認できます。New Relic APMを利用して依存ライブラリを調べる方法をご参照ください。

追加参考文献