NR25-02 - Fluent Bit 플러그인 (CVE-2025-12969, CVE-2025-12970, CVE-2025-12972, CVE-2025-12977, CVE-2025-12978)

Vulnerability Identifier: NR25-02

Priority: 높은

요약

기본적으로 뉴렐릭은 Fluent Bit 의 특정 버전에서 발견된 보안 취약점의 영향을 받는 특정 플러그인을 포함하거나 활성화하지 않습니다. 다음은 해당 플러그인 및 관련 취약점입니다.

포워드 입력 플러그인(in_forward) - CVE-2025-12969의 영향을 받습니다.
도커 입력 플러그인(in_docker) - CVE-2025-12970의 영향을 받음
파일 출력 플러그인(out_file) - CVE-2025-12972의 영향을 받습니다.
HTTP, Splunk 및 Elasticsearch 입력 플러그인(in_http, in_splunk, in_elasticsearch) - CVE-2025-12978 및 CVE-2025-12977의 영향을 받습니다.

하지만 이러한 선택적 플러그인을 활성화한 고객을 지원하기 위해, Fluent Bit 의 패치 버전(v4.0.13, v4.1.1 등)이 포함된 최신 버전의 패키지로 업그레이드하는 것을 권장합니다. 버전 4.2.0 이상):

인프라 에이전트 - Windows
인프라 에이전트 - 리눅스
Kubernetes 사용
뉴렐릭 Fluent Bit Output 플러그인 도커 이미지

조치 필요

뉴렐릭은 앞서 언급한 로그 포워딩 측정, 로그를 사용 중인 고객에게 다음과 같이 즉각적인 조치를 취할 것을 강력히 권고합니다. Fluent Bit v4.0.13, v4.1.1 등이 포함된 최신 에이전트 버전으로 업그레이드할 수 없는 경우, 또는 버전 4.2.0 이상인 경우, 위험을 완화하기 위해 위에 명시된 영향을 받는 플러그인을 비활성화하는 것이 좋습니다.

	Solution	Action Required
인프라 에이전트 - Windows	인프라 에이전트를 버전 1.71.2 이상으로 업그레이드하십시오.
인프라 에이전트 - Linux	인프라 에이전트를 버전 1.71.2 이상으로 업그레이드하고 Fluent Bit도 버전 4.2.0 이상으로 업데이트하십시오.
쿠버네티스 플러그인	newrelic-logging-1.33.0 또는 nri-bundle-6.0.28을 사용하여 업그레이드하십시오.
뉴렐릭 Fluent Bit Output 플러그인 도커 이미지	버전 3.2.1로 업데이트하세요

뉴렐릭은 이러한 업데이트를 지원하기 위해 다음 리소스를 제공했습니다.

자주 묻는 질문

내가 취약한 플러그인을 사용하고 있는지 어떻게 확인할 수 있나요?
- Fluent Bit 설정 파일에서 tag_key 변수를 사용하는지 확인하세요. 예를 들어 입력 내용에 포함되어 있습니다. HTTP, Splunk 또는 Elasticsearch 관련 취약점으로 인해 CVE-2025-12978 및 CVE-2025-12977에 설명된 공격에 취약해질 수 있습니다.
- 특히 파일 설정 매개변수가 설정되지 않은 경우 Fluent Bit 설정 파일에서 파일 출력 사용을 확인하세요. 이로 인해 CVE-2025-12972에 설명된 공격에 설치가 취약해질 수 있습니다.
- CVE-2025-12970에 설명된 공격에 취약해질 수 있는 도커 인덱스 입력 플러그인을 사용하고 있는지 Fluent Bit 설정 파일을 확인하세요.
- Fluent Bit 설정 파일에서 Forward 입력 플러그인 사용 여부를 확인하십시오. 해당 플러그인을 사용하면 CVE-2025-12969에 설명된 공격에 취약해질 수 있습니다.
국방부 에이전트를 사용하고 있지만 로그 포워딩을 비활성화했습니다. 나도 영향을 받나요?
이전에 뉴렐릭 로그 포워딩 측정, 렌더링(위에 나열됨)을 사용하고 영향을 받은 쿼리를 사용한 경우 여전히 영향을 받을 수 있습니다. 뉴렐릭은 에이전트를 업그레이드하거나 최소한 영향을 받는 플러그인을 비활성화할 것을 권장합니다. 또한 뉴렐릭은 모든 고객이 자사 환경에서 Fluent Bit 사용하는 다른 모든 부분을 파악하고 최소 v4.0.13 또는 v4.1.1 버전으로 업데이트할 것을 권장합니다. 또는 버전 4.2.0.
내가 사용 중인 Fluent Bit 버전이 무엇인지 어떻게 확인할 수 있나요?

	Agent	Steps
인프라 에이전트 및 독립형 Fluent Bit	인프라 에이전트의 경우 인프라 인벤토리 UI로 이동하여 Fluent Bit를 검색하십시오. 다음으로, 특정 호스트에 설치된 Fluent Bit 버전을 확인하십시오.
Kubernetes	뉴렐릭 Logging Helm 차트 버전 1.25.0 이상의 경우 설치됨 탭으로 이동하여 자료 필드에서 Fluent bit를 검색하세요. 그렇지 않으면 다음 NRQL 쿼리를 실행합니다. `FROM K8sContainerSample select latest(containerImage) Where podName like '%newrelic-logging%' FACET clusterName` 그런 다음 출력 플러그인 과 함께 설치된 Fluent Bit 버전을 확인하십시오.

내 운영체제에 맞는 패치된 아티팩트가 없는 경우 어떻게 해야 하나요?
- 우분투 16, 18, 20용으로 패치된 FluentBit 업스트림 패키지는 현재 제공되지 않습니다. 이러한 배포판 중 하나를 사용 중인 경우 취약점으로부터 보호하기 위해 영향을 받는 입력 플러그인을 제거하는 것이 좋습니다.
- 저희는 SLES 12.5 및 15.4용 패치 패키지를 최대한 빠른 시일 내에 제공하기 위해 노력하고 있습니다. 해당 배포판에 대한 업데이트된 패키지가 출시될 때까지 취약점으로부터 보호하기 위해 영향을 받는 플러그인을 제거하는 것이 좋습니다.
- 데비안 13용 패치 패키지를 최대한 빠른 시일 내에 제공하기 위해 노력하고 있습니다. 해당 배포판에 대한 패치 패키지가 출시될 때까지 취약점으로부터 보호하기 위해 영향을 받는 플러그인을 제거하는 것이 좋습니다.