요약
New Relic의 .NET 에이전트에 대한 보안 업데이트는 에이전트가 의도하지 않게 WCF 애플리케이션에서 서비스 요청 매개변수를 캡처할 수 있는 취약점을 수정합니다.
출시일: 2017년 5월 4일
취약점 식별자: NR17-04
우선순위: 중간
영향을 받는 소프트웨어
영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.
이름 | 영향을 받는 버전 | Notes | 수정된 버전 |
|---|---|---|---|
.NET 에이전트 | 6.8.172.0(이상) | WCF와 함께 |
취약점 정보
New Relic의 .NET 에이전트 버전 6.8.172.0 은 오류 분석에 대한 가시성을 추가했습니다. 기본적으로 에이전트는 오류 이벤트를 캡처하고 WCF 애플리케이션에서는 이벤트 유형 TransactionError 로 캡처됩니다. New Relic은 service.request.* 속성이 New Relic에 보내서는 안 되는 민감한 정보를 포함할 수 있음을 발견했습니다. 오류 수집 중에 이러한 매개변수 수집을 비활성화하도록 수정되었습니다. 고객은 최신 버전의 .NET 에이전트로 업그레이드하는 것이 좋습니다.
완화 요인
- Error Analytics 및 WCF 애플리케이션이 있는 .NET 에이전트만 영향을 받습니다.
- 높은 보안 모드에서는 모든 서비스 요청 속성이 비활성화됩니다.
해결 방법
영향을 받고 업그레이드할 수 없는 사용자는 서비스 요청 매개변수를 캡처하지 않도록 .NET 에이전트를 수동으로 구성하도록 선택할 수 있습니다. 사용자는 newrelic.config 파일의 errorCollector 스탠자에서 service.request.* 속성을 제외할 수 있습니다.
<attributes enabled="true"> <exclude > service.request.*</exclude> </attributes>자세한 내용은.NET 에이전트 오류 수집기 구성 을 참조하세요.
New Relic에 보안 취약점 보고
New Relic은 고객과 고객 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 를 참조하십시오.
더 많은 도움을 받으려면
추가 문서 리소스는 다음과 같습니다.