• /
  • EnglishEspañolFrançais日本語한국어Português
  • Se connecterDémarrer

Cette traduction automatique est fournie pour votre commodité.

En cas d'incohérence entre la version anglaise et la version traduite, la version anglaise prévaudra. Veuillez visiter cette page pour plus d'informations.

Créer un problème

Le minion privé conteneurisé (CPM) de New Relic supprime la sous-dépendance de Log4j version 1.2.17

Versions Affected: 3.0.59 et plus tôt

Fixed In: 3.0.60

Vulnerability Identifier: NR22-01

Priority: Haut

Résumé

New Relic a publié la version 3.0.60 de Containerized Private Minion (CPM) pour supprimer spécifiquement les sous-dépendances de la version 1.2.17 de log4j.

New Relic a déterminé que la version 1.2.17 de log4j était incluse dans les sous-dépendances de notre package de build pour le minion privé conteneurisé (CPM) avant la version 3.0.60. La version 1.x de Log4j présente des CVE élevés et critiques exceptionnels de CVE-2021-4104 et CVE-2019-17571 et ne reçoit plus le support de la Fondation Apache pour résoudre ces problèmes.

Éléments d'action

Nous recommandons fortement aux clients de mettre à niveau tous leurs minions privés conteneurisés (CPM) vers la version 3.0.60 ou ultérieure dès que possible. Cette version a complètement exclu toute utilisation de la version 1.x de log4j de dépendance. Vous pouvez mettre à jour vos CPM via Helm Charts version 1.0.48.

Cette étape permettra de corriger les vulnérabilités log4j dans votre minion privé conteneurisé (CPM) New Relic uniquement. Pour obtenir des conseils de sécurité supplémentaires concernant log4j dans d'autres produits New Relic, veuillez consulter les bulletins de sécurité de New Relic sur notre page de documentation.

Customers using log4j directly in their applications should carefully review the Apache Log4j Security Vulnerabilities page for remediation details that should be considered.

Liens techniques

Questions fréquemment posées

I've updated to Containerized Private Minion (CPM) version 3.0.58 already, do I need to update to version 3.0.60?

Oui, New Relic recommande fortement d'effectuer une mise à jour à ce stade pour corriger les vulnérabilités critiques dans les sous-dépendances log4j identifiées dans le package de build de minion privé conteneurisé (CPM). La Fondation Apache a émis une recommandation visant à interdire toute utilisation de la version 1.x de log4j en raison du fait que le projet n'est plus pris en charge et présente des vulnérabilités exceptionnelles. CPM 3.0.60 et les versions ultérieures sont les seules versions de CPM disponibles sans aucune utilisation de log4j version 1.x.

Historique des publications

13 janvier 2022 - NR22-01 publié

Droits d'auteur © 2025 New Relic Inc.
RecrutementConditions de servicePolitique DMCAAvis de confidentialitéCookiesLoi britannique sur l'esclavage

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.