Este documento contiene información importante sobre vulnerabilidades de seguridad que podrían afectar algunas versiones de los productos y servicios de New Relic. Los boletines de seguridad son una forma de informarle sobre estrategias de corrección de vulnerabilidades de seguridad y actualizaciones aplicables para el software afectado. Para obtener más información, consulte nuestra documentación sobre seguridad, privacidad de datos y cumplimiento, o visite el sitio web de seguridad de New Relic.
Obtener notificación de seguridad
Para recibir notificaciones sobre nuevos boletines, suscríbase al RSS Feed.
General
Estos boletines se aplican a múltiples características o capacidades de New Relic:
Boletín de seguridad | Resumen |
|---|---|
Asesoramiento relacionado con la investigación de seguridad concluyó el 31 de enero de 2024 |
APM
Los boletines de seguridad de nuestro agente APM incluyen una calificación de vulnerabilidades.
Boletín de seguridad | Resumen y notas de la versión relacionadas | Clasificación |
|---|---|---|
New Relic recomienda que los clientes que implementen el agente .NET en una configuración usando Microsoft Extensions Logging (MEL) actualicen a la versión 10.1.0 o después. | Bajo | |
NR21-03, fecha original 10/12/2021 | El agente de Java utiliza el framework de registro y los procedimientos de Apache log4j para abordar CVE-2021-44228 y CVE-2021-45046. El boletín incluye elementos de acción y enlaces a notas de la versión relacionadas. | Crítico |
NR21-02, 26/04/2021 | El agente de Java implementa un analizador YAML que puede provocar una ejecución limitada de código al analizar una carga útil YAML diseñada. | Bajo |
NR20-02, 20/8/2020 | El agente no elimina el URI de la traza de la transacción cuando | Medio |
NR20-01, 16/01/2020 | El agente puede capturar la consulta SQL completa cuando ocurre una excepción. Consulte las notas de la versión del agente .NET. | Medio |
NR19-05, 26/8/2019 | Los nombres métricos incorrectos creados con consulta no parametrizada pueden contener información confidencial. Consulte las notas de la versión del agente .NET. | Medio |
NR19-03, 22/04/2019 | La ofuscación de consulta puede fallar en el servidor Microsoft SQL. Consulte las notas de la versión del agente .NET . | Medio |
NR19-02, 1/4/2019 | El atributo de segmento puede incluir un parámetro de solicitud en modo de alta seguridad o cuando se utilizan políticas configurables de seguridad. Consulte las notas de la versión del agente Node.js. | Medio |
NR19-01, 9/1/2019 | La instrumentación de OpenRasta puede capturar cadenas de consulta. Consulte las notas de la versión del agente .NET. | Medio |
NR18-09, 2/05/2018 | El agente puede capturar datos confidenciales cuando | Bajo |
NR18-08, 12/04/2018 | El agente utiliza un módulo | Bajo |
NR18-07, 7/3/2018 | El agente puede informar los resultados de la consulta de la base de datos a New Relic o volver a emitir una declaración SQL. Consulte las notas de la versión del agente Python, Java y .NET . | Alto |
NR18-06, 5/3/2018 | El agente podrá capturar todos los atributos de la transacción. Consulte las notas de la versión del agente Node.js. | Alto |
NR18-04, 22/01/2018 | Los mensajes de error no se eliminan en el modo de alta seguridad. Consulte las notas de la versión del agente .NET. | Medio |
NR18-02, 9/1/2018 | El agente no puede ofuscar los parámetros SQL con SQLite. Consulte las notas de la versión del agente Python. | Medio |
NR18-01, 9/1/2018 | El agente puede capturar parámetros API personalizados en modo de alta seguridad. Consulte las notas de la versión del agente Python. | Medio |
NR17-06, 18/12/2017 | El agente captura el parámetro de solicitud HTTP externo durante una traza de la transacción. Consulte las notas de la versión del agente .NET. | Medio |
NR17-05, 30/05/2017 | El agente puede capturar la consulta SQL completa cuando ocurre una excepción. Consulte las notas de la versión del agente de Java. | Alto |
NR17-04, 5/5/2017 | El agente captura el parámetro de solicitud de servicio WCF durante un | Medio |
NR17-03, 9/2/2017 | Consulta agregada de MongoDB no ofuscada. Consulte las notas de la versión del agente Ruby. | Bajo |
NR17-02, 12/01/2017 | Los parámetros de consulta no se eliminan del atributo | Medio |
NR17-01, 12/01/2017 | Los parámetros de consulta no se eliminan del atributo | Medio |
Monitoreo de infraestructura
Los boletines de seguridad para el monitoreo de infraestructura incluyen una calificación de vulnerabilidades.
Boletín de seguridad | Resumen y notas de la versión relacionadas | Clasificación |
|---|---|---|
NR18-12, 28/11/18 | El agente de Windows puede seguir enlaces físicos o carpetas de unión sin privilegios. Consulte las notas de la versión del agente para el monitoreo de infraestructura. | Bajo |
NR18-11, 8/10/18 | El agente de Windows puede ejecutar archivos binarios privilegiados en la ruta del sistema. Consulte las notas de la versión del agente para el monitoreo de infraestructura. | Medio |
NR18-10, 18/06/18 | La ruta del archivo codificada permite una configuración controlada por el usuario. Consulte las notas de la versión del agente para el monitoreo de infraestructura. | Alto |
NR18-05, 8/2/2018 | Se pueden capturar las opciones de la línea de comando. Consulte las notas de la versión del agente para el monitoreo de infraestructura. | Alto |
monitoreo del navegador
Los boletines de seguridad de incluyen una calificación de vulnerabilidades.
Boletín de seguridad | Resumen y notas de la versión relacionadas | Clasificación |
|---|---|---|
NR21-01, 9/3/2021 | El agente no desinfecta adecuadamente los URI de archivos locales cuando se abre una página HTML instrumentada directamente desde el sistema de archivos del sistema operativo. | Medio |
Monitoreo sintetico
Los boletines de seguridad para el monitoreo sintético incluyen una calificación de vulnerabilidades.
Boletín de seguridad | Resumen y notas de la versión relacionadas | Clasificación |
|---|---|---|
NR22-01, 13/01/2022 | Procedimientos de minion privado en contenedores (llamadas por minuto) para eliminar específicamente subdependencias en log4j versión 1.2.17 | Alto |
NR21-04, fecha original 13/12/2021 | Procedimientos de minion privado en contenedores (llamadas por minuto) para abordar CVE-2021-44228 y CVE-2021-45046. El boletín incluye elementos de acción y enlaces a notas de la versión relacionadas. | Crítico |
NR19-04, 22/07/2019 | Es posible que aparezcan datos confidenciales en el registro. Consulte las notas de la versión de minion privado en contenedores. | Medio |
NR18-03, 12/01/2018 | Actualización minion privado para Meltdown (CVE-2017-5754). Consulte las notas de la versión de minion privado en contenedores. | Alto |
Calificaciones de vulnerabilidades de seguridad
En New Relic, utilizamos cuatro niveles para calificar las vulnerabilidades de seguridad.
Clasificación | Descripción |
|---|---|
Crítico | A vulnerabilidades en un producto o servicio de New Relic que podrían explotarse para comprometer la confidencialidad o integridad de sus datos. |
Alto | Es probable que New Relic reciba información atípica o no intencionada, lo que podría comprometer la confidencialidad o integridad de sus datos. |
Medio | New Relic podría recibir información atípica o no deseada, pero el riesgo de compromiso se mitiga mediante la configuración predeterminada o las prácticas de seguridad estándar. |
Bajo | New Relic puede recibir información atípica o no intencionada, pero las vulnerabilidades serían difíciles de explotar o tendrían un impacto mínimo. |
Informar vulnerabilidades de seguridad a New Relic
New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos, servicios o sitios web, le invitamos y apreciamos mucho que lo informe a nuestro programa de divulgación coordinada. Para obtener más información, consulte nuestra documentación sobre cómo informar vulnerabilidades de seguridad.