Resumen
Una actualización de seguridad para el agente Node.js de New Relic elimina una vulnerabilidad que permite la posible divulgación de información confidencial a través del parámetro de consulta del encabezado de referencia.
Release date: 12 de enero de 2017
Vulnerability identifier: NR17-01
Priority: Medio
Software afectado
Las siguientes versiones del agente New Relic se ven afectadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente de Node.js | 1.25.4 | ||
Agente de Node.js | 2.0 |
Información de vulnerabilidades
El agente Node.js de New Relic recopila los encabezados de solicitud durante una traza de error para ayudar a determinar la causa raíz de los problemas. El encabezado de referencia es el URI que identifica la dirección de la página web que enlaza con el recurso que se solicita. Es posible que el URI de referencia contenga información confidencial en el parámetro de consulta de solicitud. New Relic ha descubierto que los parámetros de consulta no se eliminan correctamente durante la traza del error. Esta actualización soluciona este problema eliminando el parámetro de consulta del referente en el encabezado de la solicitud antes de enviar estos datos a New Relic.
Factores atenuantes
- Mejores prácticas recomiendan no utilizar consulta parámetro para pasar datos confidenciales.
Soluciones alternativas
New Relic no ha identificado ninguna solución para estas vulnerabilidades.
Informar vulnerabilidades de seguridad a New Relic
New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte Informar vulnerabilidades de seguridad.
Para más ayuda
Los recursos de documentación adicionales incluyen:.