요약
개발자가 높은 보안 모드에서 실수로 사용자 지정 API 매개변수를 캡처하는 것을 방지하기 위한 Python 에이전트용 보안 업데이트입니다.
출시일: 2018년 1월 9일
취약점 식별자: NR18-01
우선순위: 중간
영향을 받는 소프트웨어
영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.
이름 | 영향을 받는 버전 | Notes | 수정된 버전 |
|---|---|---|---|
파이썬 에이전트 | 높은 보안 모드 |
취약점 정보
Python 높은 보안 모드 에 대한 내부 감사에서는 에이전트가 추적 API를 사용하여 메시지 매개변수를 사용자 정의하여 New Relic에 추가 데이터를 보낼 수 있다는 사실이 밝혀졌습니다. 개발자가 함수 추적 API 또는 메시지 추적 API를 사용하여 추가 매개변수를 전달하는 경우 사용자 정의 매개변수가 New Relic으로 전송될 수 있습니다. 높은 보안 모드가 활성화된 경우 이러한 기능을 비활성화해야 합니다.
완화 요인
- 이는 Python 에이전트를 사용하여 높은 보안 모드를 활성화하고 개발자가 추적 API에 추가 정보를 추가하는 고객에게만 영향을 미칩니다.
해결 방법
에이전트를 업그레이드할 수 없는 경우 다음 조치를 취하여 높음 보안 모드에서 추가 데이터를 보내지 않도록 할 수 있습니다.
- 함수 추적 API 또는 메시지 추적 API 에 대한 사용자 정의 매개변수를 제거하십시오.
New Relic에 보안 취약점 보고
New Relic은 고객과 고객 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 를 참조하십시오.
더 많은 도움을 받으려면
추가 문서 리소스는 다음과 같습니다.