• /
  • EnglishEspañolFrançais日本語한국어Português
  • Se connecterDémarrer

Cette traduction automatique est fournie pour votre commodité.

En cas d'incohérence entre la version anglaise et la version traduite, la version anglaise prévaudra. Veuillez visiter cette page pour plus d'informations.

Créer un problème

Apache Log4j Vulnérabilités critiques CVE-2021-44228 - Java

Versions affected: Toutes les versions d'agent entre (a) 4.12.0 et 6.5.1 ; et (b) 7.0.0 et 7.4.1

Fix versions: 6.5.2, 6.5.3, 6.5.4, 7.4.2, 7.4.3 et 7.5.0

Vulnerability identifier: NR21-03

Nous avons déterminé que les nouvelles vulnérabilités identifiées (CVE-2021-44832) n'affectent PAS l'agent Java de New Relic, à moins qu'un vecteur d'attaque supplémentaire n'autorise des autorisations d'écriture sur l'hôte système. Néanmoins, les versions plus récentes de l'agent Java New Relic utiliseront les dernières versions Apache de log4j (actuellement les versions 2.17.1 (Java 8) et 2.12.4 (Java 7), qui corrigent CVE-2021-44832).

Nous avons également déterminé que l'agent Java de New Relic n'est PAS vulnérable à CVE-2021-45046 ou CVE-2021-45105. Cela est dû au fait que l'utilisation de log4j par l'agent se trouve derrière une interface wrapper qui n'utilise ni ne prend en charge les données d'entrée de la carte de contexte de thread, un aspect requis des vulnérabilités. Cependant, nous vous recommandons de mettre à jour au moins la version 6.5.2 ou 7.4.2 pour garantir une protection complète contre CVE-2021-44228.

Au fur et à mesure que de nouvelles versions de log4j seront disponibles, nous continuerons à sortir de nouvelles versions de l'agent.

Version de l'agent Java New Relic

Version d'Apache log4j

6.5.1

2.15.0

6.5.2

2.12.2

6.5.3

2.12.3

6.5.4

2.12.4

7.4.1

2.15.0

7.4.2

2.16.0

7.4.3

2.17.0

7.5.0+

2.17.1

Résumé

New Relic a sorti de nouvelles versions de Java l'agent pour répondre à des vulnérabilités critiques dans le open source log4j framework qui pourraient permettre à un acteur malveillant d'exfiltrer des données ou d'exécuter du code arbitraire à l'aide de messages de log ou de log paramètres de messages de .

New Relic mettra à jour ce bulletin de sécurité et nos conseils clients à mesure que de nouvelles informations seront disponibles.

Éléments d'action

Pour corriger le CVE 2021-44228 dans l'agent Java New Relic, nous recommandons aux clients de mettre à niveau vers la sortie de l'agent 6.5.2 ou supérieure (nécessite Java 7 ou supérieure) ou 7.4.2 ou supérieure (nécessite Java 8 ou supérieure) dès que possible.

Si vous avez déjà effectué la mise à niveau vers les versions d'agent 6.5.2 ou 7.4.2, vous êtes protégé contre CVE 2021-44228 et n'avez pas besoin d'effectuer une nouvelle mise à niveau pour le moment. Nous avons déterminé que l'agent Java de New Relic n'est PAS sensible aux vulnérabilités CVE-2021-45046 ou CVE-2021-45105, car l'utilisation de log4j par les agents se trouve derrière une interface wrapper qui n'utilise ni ne prend en charge les données d'entrée de la carte de contexte de thread, un aspect requis de la vulnérabilité. Nous vous recommandons de mettre à jour au moins la version 6.5.2 ou 7.4.2 pour garantir une protection complète contre CVE-2021-44228.

Important

Si vous utilisez une version de l'agent antérieure à 6.5.2 ou 7.4.2, ou si vous ne pouvez pas mettre à niveau votre version d'agent, nous vous recommandons fortement de désactiver le logging de l'agent.

Comment désactiver le logging de l'agent Java

Vous pouvez définir le niveau du logging de votre agent Java sur OFF pour corriger CVE-2021-44228. Pour ce faire, utilisez l’une des options suivantes :

  • Modifiez votre fichier de configuration d'agent local (recherchez le paramètre log_level ) (aucun redémarrage n'est requis)
  • Définir la propriété système newrelic.config.log_level=OFF (redémarrage requis)
  • Définir la variable d'environnement NEW_RELIC_LOG_LEVEL=OFF (redémarrage requis)

Vous pouvez vérifier que le logging de l'agent a été désactivé en vérifiant le fichier de log de l'agent. Vous ne devriez pas voir de nouveaux messages en cours d'écriture.

La désactivation du logging de l’agent Java n’affecte pas la fonctionnalité de l’agent et n’entraînera aucune dégradation de l’observabilité.

Note: Cette solution de contournement est recommandée uniquement comme solution temporaire jusqu'à ce que vous puissiez mettre à jour la version de votre agent.

Nous partagerons plus d’informations et des étapes supplémentaires de correction si la situation change.

If you use log4j directly in your applications, be sure to carefully review the Apache Log4j Security Vulnerabilities. This page provides remediation details for you to consider.

Minions privés conteneurisés

L’étape ci-dessus corrigera uniquement votre agent Java New Relic. Vous devrez peut-être également mettre à jour votre minion privé conteneurisé (CPM) de New Relic. Veuillez vous référer à la NR21-04 pour plus d'informations.

Informations sur les vulnérabilités techniques

Questions fréquemment posées

Historique de la publication

  • 3 mars 2022 : Révision NR21-03 :

    • Références mises à jour aux versions 6.5.4 et 7.5.0 de l'agent Java

  • 29 décembre 2021 : Révision NR21-03 :

    • Mis à jour pour refléter les conclusions de l'agent sur CVE-2021-44832

  • 22 décembre 2021 : NR21-03 Révision majeure :

    • Nouvelles versions de correctifs 6.5.3 et 7.4.3 disponible pour répondre aux problèmes CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105.
    • Ajout d'évaluations des risques d'exploitabilité pour chaque vulnérabilité, pour aider les clients à prendre des décisions de correction.
    • Ajout de contenu concernant le manque d'impact sur les fonctionnalités pour les clients qui désactivent le logging des agents.

  • 17 décembre 2021 : Révision NR21-03 :

    • Modification de la gravité et de la description technique de CVE-2021-45046

  • 16 décembre 2021 : NR21-03 Révision majeure :

    • Nouvelle version de correctif 6.5.2 disponible pour traiter à la fois CVE-2021-44228 et CVE-2021-45046.
    • Modification des directives concernant la suffisance de la version 2.15.0 de log4j pour protéger contre l'exploitation de CVE-2021-44228.
    • Modification de la solution de contournement recommandée.
    • Mise à jour de la description technique NIST de CVE-2021-44228.

  • 14 décembre 2021 : NR21-03 Révision majeure :

    • Nouvelle version de correctif 7.4.2 disponible pour répondre à la fois aux CVE-2021-44228 et CVE-2021-45046.
    • Mis à jour pour inclure une option de contournement supplémentaire.
    • Mis à jour pour clarifier les différences entre les mises à jour de l'agent Java New Relic et les bonnes pratiques que les clients doivent adopter pour sécuriser leurs applications.
    • Ajout de descriptions de vulnérabilités techniques et de scores CVSS du National Institute of Standards and Technology (NIST).

  • 13 décembre 2021 : NR21-03 mis à jour pour inclure des conseils de contournement et des FAQ plus explicites

  • 10 décembre 2021 : publication de la NR21-03

Signaler les vulnérabilités de sécurité à New Relic

New Relic s'engage à assurer la sécurité de ses clients et de vos données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez notre documentation sur le signalement des vulnérabilités de sécurité.

Droits d'auteur © 2025 New Relic Inc.
RecrutementConditions de servicePolitique DMCAAvis de confidentialitéCookiesLoi britannique sur l'esclavage

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.