NR25-02 - Plug-in Fluent Bit (CVE-2025-12969, CVE-2025-12970, CVE-2025-12972, CVE-2025-12977, CVE-2025-12978)

Vulnerability Identifier: NR25-02

Priority: Alto

Resumo

Por padrão, New Relic não inclui nem habilita os plug-ins específicos afetados pelas vulnerabilidades de segurança identificadas em determinadas versões do Fluent Bit. Os plug-ins específicos e suas vulnerabilidades associadas são:

Plug-in de entrada direta (in_forward) - Afetado por CVE-2025-12969
Plug-in de entrada Docker (in_docker) - Afetado por CVE-2025-12970
Plug-in de saída de arquivo (out_file) - Afetado por CVE-2025-12972
Plug-in de entrada HTTP, Splunk e Elasticsearch (in_http, in_splunk, in_elasticsearch) - Afetado por CVE-2025-12978 e CVE-2025-12977

No entanto, para dar suporte aos clientes que habilitaram esses plug-ins opcionais, recomendamos que eles atualizem para as versões mais recentes disponíveis desses pacotes, que incluem a versão corrigida do Fluent Bit (v4.0.13, v4.1.1, v4.2.0 ou superior):

agente de infraestrutura - Windows
agente de infraestrutura - Linux
Plug-in Kubernetes
Imagem doNew Relic Fluent Bit plugin de saída Docker

Ação requerida

A New Relic recomenda enfaticamente que seus clientes que utilizam a instrumentação de encaminhamento de logs mencionada acima tomem as seguintes medidas imediatas. Se você não conseguir atualizar para as versões mais recentes do agente que contêm o Fluent Bit v4.0.13, v4.1.1, ou v4.2.0, recomendamos desativar o plug-in afetado especificado acima para mitigar o risco.

	Solution	Action Required
agente de infraestrutura - Windows	Atualize o agente de infraestrutura para a versão v1.71.2 ou posterior.
agente de infraestrutura - Linux	Atualize o agente de infraestrutura para a versão v1.71.2 ou posterior E atualize o Fluent Bit para a versão v4.2.0 ou posterior.
Plug-in Kubernetes	Atualize usando o newrelic-logging-1.33.0 ou o nri-bundle-6.0.28.
Imagem doNew Relic Fluent Bit plugin de saída Docker	Atualização para a versão 3.2.1

A New Relic forneceu os seguintes recursos para ajudar com essas atualizações:

Perguntas frequentes

Como posso descobrir se estou usando um plug-in vulnerável?
- Verifique seus arquivos de configuração Fluent Bit para o uso do parâmetro `tag_key` no plug-in de entrada, por exemplo. HTTP, Splunk ou Elasticsearch podem deixar sua instalação vulnerável aos ataques descritos em CVE-2025-12978 e CVE-2025-12977.
- Verifique seus arquivos de configuração Fluent Bit para o uso do plug-in de saída de arquivo, especialmente onde o parâmetro de configuração de arquivo não foi definido, o que pode deixar sua instalação vulnerável aos ataques descritos em CVE-2025-12972.
- Verifique seus arquivos de configuração Fluent Bit para o uso do plug-in de entrada Docker Métrica, que pode deixar sua instalação vulnerável aos ataques descritos em CVE-2025-12970.
- Verifique seus arquivos de configuração Fluent Bit para o uso do plug-in de entrada Forward, que pode deixar sua instalação vulnerável aos ataques descritos em CVE-2025-12969.
Estou usando o agente de infraestrutura mas desativei o encaminhamento de logs. Estou impactado?
Se você já utilizou o serviço de encaminhamento de logs instrumentação New Relic (listado acima) e o plug-in afetado, você ainda pode estar sendo impactado. New Relic recomenda que você atualize seu agente ou, no mínimo, desative o plug-in afetado. Além disso, a New Relic recomenda que todos os clientes identifiquem quaisquer outros usos do Fluent Bit em seus ambientes e os atualizem para pelo menos a versão v4.0.13 ou v4.1.1. ou v4.2.0.
Como posso descobrir qual versão do Fluent Bit estou usando?

	Agent	Steps
agente de infraestrutura e autônomo Fluent Bit	Para encontrar seu agente de infraestrutura, acesse a interface de Inventário de Infraestrutura e pesquise por Fluent Bit. Em seguida, verifique a versão do Fluent Bit instalada em um determinado host.
Kubernetes	Para o gráfico New Relic Logging Helm versão 1.25.0 ou superior, navegue até a guia Installed e pesquise por Fluent bit no campo entidade Caso contrário, execute a seguinte consulta NRQL: `FROM K8sContainerSample select latest(containerImage) Where podName like '%newrelic-logging%' FACET clusterName` Em seguida, verifique qual versão Fluent Bit foi instalada com o plug-in de saída.

O que devo fazer se não houver artefatos corrigidos disponíveis para o meu sistema operacional?
- Não existe nenhum pacote upstream do FluentBit corrigido disponível para Ubuntu 16, 18 e 20. Se você estiver usando alguma dessas distribuições, recomendamos que remova o plug-in de entrada afetado para se proteger contra vulnerabilidades.
- Estamos trabalhando para disponibilizar pacotes corrigidos para o SLES 12.5 e 15.4 o mais breve possível. Até que lancemos os pacotes atualizados para essas distribuições, recomendamos remover o plug-in afetado para se proteger contra vulnerabilidades.
- Estamos trabalhando para disponibilizar um pacote corrigido para o Debian 13 o mais breve possível. Até que lancemos um pacote corrigido para esta distribuição, recomendamos remover o plug-in afetado para se proteger contra vulnerabilidades.