• /
  • EnglishEspañol日本語한국어Português
  • Inicia sesiónComenzar ahora

Te ofrecemos esta traducción automática para facilitar la lectura.

En caso de que haya discrepancias entre la versión en inglés y la versión traducida, se entiende que prevalece la versión en inglés. Visita esta página para obtener más información.

Crea una propuesta

Boletín de Seguridad NR17-03

Resumen

Una actualización de seguridad para New Relic Ruby el agente de corrige una vulnerabilidad en la que el agente podría capturar involuntariamente consultas agregadas sin procesar con MongoDB. New Relic recomienda actualizar a la última versión reparada.

Release date: 9 de febrero de 2017

Vulnerability identifier: NR17-03

Priority: Bajo

Software afectado

Las siguientes versiones del agente New Relic se ven afectadas:

Name

Affected version

Notes

Remediated version

Agente Ruby

3.13.1 (y mayores)

Con controlador MongoDB 2.1 (y superior)

3.18.1

Información de vulnerabilidades

New Relic Ruby La versión 3.13.1 del agente de agregó visibilidad a MongoDB consulta con la versión 2.1 y superiores del controlador MongoDB para Ruby. La configuración predeterminada del agente para mongo.obfuscate_queries es verdadera. Esto debería hacer que el agente confunda los valores en Mongo consulta antes de enviar esta información a New Relic. Sin embargo, al utilizar el pipeline agregada con esta versión del controlador, la consulta agregada no se ofuscó adecuadamente.

Factores atenuantes

  • Sólo se ven afectados los clientes que utilizan la versión 2.1 y superior del controlador Ruby para MongoDB.
  • Las consultas agregadas generalmente no contienen información confidencial.

Soluciones alternativas

Los usuarios afectados y que no puedan actualizar pueden optar por configurar el agente Ruby para que no capture la consulta de mongoDB. El usuario puede establecer mongo.capture_queries en falso para evitar que el agente envíe información sobre la consulta.

Informar vulnerabilidades de seguridad a New Relic

New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte Informar vulnerabilidades de seguridad.

Para más ayuda

Los recursos de documentación adicionales incluyen:.

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.