요약
New Relic의 Ruby 에이전트에 대한 보안 업데이트는 에이전트가 의도하지 않게 MongoDB를 사용하여 원시 집계 쿼리를 캡처할 수 있는 취약점을 수정합니다. New Relic은 수정된 최신 버전으로 업데이트할 것을 권장합니다.
출시일: 2017년 2월 9일
취약점 식별자: NR17-03
우선 순위: 낮음
영향을 받는 소프트웨어
영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.
이름 | 영향을 받는 버전 | Notes | 수정된 버전 |
|---|---|---|---|
루비 에이전트 | 3.13.1(이상) | MongoDB 드라이버 2.1 이상 사용 |
취약점 정보
New Relic의 Ruby 에이전트 버전 3.13.1은 Ruby용 MongoDB 드라이버 버전 2.1 이상에서 MongoDB 쿼리에 대한 가시성을 추가했습니다. mongo.obfuscate_queries 에 대한 에이전트의 기본 설정은 true입니다. 이로 인해 에이전트는 이 정보를 New Relic에 보내기 전에 Mongo 쿼리의 값을 난독화해야 합니다. 그러나 이 버전의 드라이버와 함께 집계 파이프라인을 사용할 때 집계 쿼리가 제대로 난독화되지 않았습니다.
완화 요인
- MongoDB용 Ruby Driver 버전 2.1 이상을 사용하는 고객만 영향을 받습니다.
- 집계 쿼리에는 일반적으로 민감한 정보가 포함되어 있지 않습니다.
해결 방법
영향을 받고 업그레이드할 수 없는 사용자는 mongoDB 쿼리를 캡처하지 않도록 Ruby 에이전트를 구성하도록 선택할 수 있습니다. 사용자는 에이전트가 쿼리에 대한 정보를 보내지 못하도록 mongo.capture_queries 를 false로 설정할 수 있습니다.
New Relic에 보안 취약점 보고
New Relic은 고객과 고객 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 를 참조하십시오.
더 많은 도움을 받으려면
추가 문서 리소스는 다음과 같습니다.