概要
開発者が高セキュリティ モードでカスタム API パラメータを誤って取得するのを防ぐための Python エージェントのセキュリティ更新。
発売日: 2018年1月9日
脆弱性の識別子: NR18-01
Priority: Medium
対象となるソフトウェア
以下のNew Relicエージェントのバージョンが影響を受けます。
名前 | 影響を受けるバージョン | メモ | リメディエーション版 |
|---|---|---|---|
Pythonエージェント | ハイセキュリティモード |
脆弱性情報
Python 高セキュリティ モードの内部監査により、エージェントがトレース API を使用してメッセージ パラメータをカスタマイズすることにより、New Relic に追加データを送信できることが判明しました。開発者が関数トレース API またはメッセージ トレース API を使用して追加パラメータを渡す場合、カスタム パラメータが New Relic に送信されることがあります。高セキュリティ モードが有効な場合、これらは無効にする必要があります。
緩和要因
- これは、Python エージェントで高セキュリティ モードを有効にしている顧客にのみ影響し、開発者はトレース API に追加情報を追加しています。
回避策
エージェントをアップグレードできない場合は、次のアクションを実行して、高セキュリティ モードで追加のデータが送信されないようにすることができる場合があります。
- ファンクショントレース API または メッセージトレース API へのカスタムパラメ ータを削除します。
セキュリティの脆弱性をNew Relicに報告
ニューレリックは、お客様とそのデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見したと思われる場合は、New Relic の協調的な情報開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 Reporting security vulnerabilities をご覧ください。
さらにヘルプが必要
その他のドキュメントリソースは以下の通りです。