Resumen
Una actualización de seguridad para el agente de infraestructura para evitar la captura de parámetro de línea de comando.
Release date: 8 de febrero de 2018
Vulnerability identifier: NR18-05
Priority: Alto
Software afectado
Las siguientes versiones del agente New Relic se ven afectadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente de infraestructura | 1.0.822 - 1.0.872 | Error de traza |
Información de vulnerabilidades
El agente de infraestructura de New Relicrecopila información sobre los procesos en ejecución, incluida la línea de comando del proceso. La configuración predeterminada strip_command_line: true debería evitar que se envíe un parámetro de línea de comando adicional a New Relic. Con algunas opciones de línea de comando, el agente capturará el parámetro de línea de comando adicional incluso con esa configuración habilitada.
Factores atenuantes
- Generalmente, los datos confidenciales no formarán parte de las opciones de la línea de comando.
- En sistemas Linux, el parámetro de línea de comando solo se recopilará si los argumentos de la línea de comando (banderas) tienen rutas con un elemento separador de ruta (
/). - En sistemas Windows, el parámetro de línea de comando solo se recopilará si la línea de comando tiene modificadores que comienzan con
/o-y contiene elementos separadores de ruta (\).
Soluciones alternativas
La única solución para este problema es actualizar el agente de infraestructura.
Informar vulnerabilidades de seguridad a New Relic
New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte Informar vulnerabilidades de seguridad.
Para más ayuda
Los recursos de documentación adicionales incluyen:.