NR25-02 - Module d'extension Fluent Bit (CVE-2025-12969, CVE-2025-12970, CVE-2025-12972, CVE-2025-12977, CVE-2025-12978)

Vulnerability Identifier: NR25-02

Priority: Haut

Résumé

Par défaut, New Relic n’inclut pas ou n’active pas le plug-in spécifique qui est affecté par les vulnérabilités de sécurité identifiées dans certaines versions de Fluent Bit. Le plug-in spécifique et ses vulnérabilités associées sont les suivants :

Module d'entrée Forward (in_forward) - Affecté par la vulnérabilité CVE-2025-12969
Module d'entrée Docker (in_docker) - Affecté par la vulnérabilité CVE-2025-12970
Module d'extension de sortie de fichier (out_file) - Affecté par la vulnérabilité CVE-2025-12972
Module d'entrée HTTP, Splunk et Elasticsearch (in_http, in_splunk, in_elasticsearch) - Affecté par les vulnérabilités CVE-2025-12978 et CVE-2025-12977

Toutefois, pour assurer la compatibilité avec les clients ayant activé ces modules complémentaires optionnels, nous recommandons la mise à niveau vers les dernières versions disponibles de ces packages, qui intègrent la version corrigée de Fluent Bit (v4.0.13, v4.1.1, v4.2.0 ou supérieur) :

Agent d'infrastructure - Windows
Agent d'infrastructure - Linux
Plugin Kubernetes
Image Docker du nouveau plug-in de sortie Fluent Bit de Relic

Action requise

New Relic conseille vivement à ses clients qui utilisent l’instrumentation de transfert de logsusmentionnée de prendre immédiatement les mesures suivantes. Si vous ne parvenez pas à effectuer la mise à niveau vers les dernières versions de l'agent contenant Fluent Bit v4.0.13, v4.1.1, ou v4.2.0, nous recommandons de désactiver le plug-in concerné spécifié ci-dessus afin d'atténuer le risque.

	Solution	Action Required
Agent d'infrastructure - Windows	Mettez à niveau l'agent d'infrastructure vers la version v1.71.2 ou ultérieure.
Agent d'infrastructure - Linux	Mettez à niveau l'agent d'infrastructure vers la version v1.71.2 ou ultérieure ET mettez à jour Fluent Bit vers la version v4.2.0 ou ultérieure.
Plugin Kubernetes	Mettez à jour en utilisant soit newrelic-logging-1.33.0, soit nri-bundle-6.0.28
Image Docker du nouveau plug-in de sortie Fluent Bit de Relic	Mise à jour vers la version 3.2.1

New Relic a fourni les ressources suivantes pour vous aider avec ces mises à jour :

Questions fréquemment posées

Comment puis-je savoir si j'utilise le plug-in vulnérable ?
- Vérifiez vos fichiers configuration Fluent Bit pour l'utilisation du paramètre tag_key dans le plug-in d'entrée, par exemple. HTTP, Splunk ou Elasticsearch peuvent rendre votre installation vulnérable aux attaques décrites dans les CVE-2025-12978 et CVE-2025-12977.
- Vérifiez vos fichiers configuration Fluent Bit concernant l'utilisation du plug-in de sortie File, en particulier lorsque le paramètre configuration File n'est pas défini, car cela pourrait rendre votre installation vulnérable aux attaques décrites dans CVE-2025-12972.
- Vérifiez vos fichiers configuration Fluent Bit pour l'utilisation du plugin d'entrée Docker métriques, car cela pourrait rendre votre installation vulnérable aux attaques décrites dans CVE-2025-12970.
- Vérifiez vos fichiers configuration Fluent Bit pour l'utilisation du plug-in d'entrée Forward, car cela pourrait rendre votre installation vulnérable aux attaques décrites dans CVE-2025-12969.
J'utilise l'agent d'infrastructure mais j'ai désactivé le transfert de log . Suis-je impacté ?
Si vous avez déjà utilisé l'instrumentation de transfert de log New Relic (listée ci-dessus) et le plug-in concerné, vous pourriez encore être impacté. New Relic vous recommande de mettre à jour vos agents, ou au minimum de désactiver le plug-in concerné. De plus, New Relic recommande à tous ses clients d'identifier toute autre utilisation de Fluent Bit dans leurs environnements et de la mettre à jour au moins vers la version v4.0.13, v4.1.1, ou v4.2.0.
Comment puis-je savoir quelle version de Fluent Bit j'utilise ?

	Agent	Steps
Agent d'infrastructure et Fluent Bit autonome	Pour vos agents d'infrastructure, accédez à l'interface utilisateur de l'inventaire d'infrastructure et recherchez Fluent Bit. Ensuite, vérifiez la version de Fluent Bit installée sur l'hôte donné.
Kubernetes	Pour la version 1.25.0 ou supérieure du graphique Helm de New Relic Logging, accédez à l'onglet Installé et recherchez le bit Fluent dans le champ Entité Sinon, exécutez la requête NRQL suivante : `FROM K8sContainerSample select latest(containerImage) Where podName like '%newrelic-logging%' FACET clusterName` Vérifiez ensuite quelle version Fluent Bit a été installée avec le plug-in de sortie.

Que dois-je faire s'il n'existe aucun correctif disponible pour mon système d'exploitation ?
- Il n'existe aucun package amont FluentBit patché disponible pour Ubuntu 16, 18 et 20. Si vous utilisez l'une de ces distributions, nous vous recommandons de supprimer le module d'extension d'entrée concerné afin de vous protéger contre les vulnérabilités.
- Nous travaillons à fournir au plus vite un package corrigé pour SLES 12.5 et 15.4. En attendant le déploiement du package mis à jour pour ces distributions, nous recommandons de supprimer le plug-in concerné afin de vous protéger contre les vulnérabilités.
- Nous travaillons à fournir au plus vite un package corrigé pour Debian 13. En attendant la publication d'un package pour cette distribution, nous recommandons de supprimer le plug-in concerné afin de vous protéger contre les vulnérabilités.