요약
New Relic의 .NET 에이전트에 대한 보안 업데이트는 에이전트가 트랜잭션 추적 중에 외부 HTTP 요청에서 의도하지 않게 쿼리 매개변수를 캡처할 수 있는 취약점을 수정합니다.
출시일: 2017년 12월 18일
취약점 식별자: NR17-06
우선순위: 중간
영향을 받는 소프트웨어
영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.
이름 | 영향을 받는 버전 | Notes | 수정된 버전 |
|---|---|---|---|
.NET 에이전트 | 5.11.0 - 6.19.330 | 거래 추적 |
취약점 정보
New Relic의 .NET 에이전트는 트랜잭션 추적을 캡처하여 함수 호출, 데이터베이스 호출 및 외부 호출을 포함한 단일 트랜잭션에 대한 자세한 정보를 얻습니다. 기본적으로 에이전트는 외부 호출(HTTP 요청)의 세부 정보를 수집하지 않아야 합니다. 이전 버전의 에이전트는 민감한 정보를 포함할 수 있는 외부 http 요청 매개변수를 수집합니다. 이 릴리스에서는 외부 HTTP 요청의 요청 매개변수를 수집하지 않도록 .NET 에이전트의 기본 동작을 수정합니다.
완화 요인
- HttpClient , WebRequest 또는 이러한 호출을 사용하는 기타 라이브러리를 사용하여 작성된 외부 HTTP 요청에 사용되는 쿼리 매개변수입니다.
- 트랜잭션 추적 사용(기본 설정)
해결 방법
.NET 에이전트 구성에서 트랜잭션 추적 을 비활성화합니다.
New Relic에 보안 취약점 보고
New Relic은 고객과 고객 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 를 참조하십시오.
더 많은 도움을 받으려면
추가 문서 리소스는 다음과 같습니다.