요약
Node.js 에이전트가 request.uri
속성을 제외하도록 구성된 경우에도 트랜잭션 추적에서 URI를 캡처합니다. 이는 민감한 정보가 URI에 포함된 환경의 특정 고객에게 문제가 될 수 있습니다.
출시일: 2020년 8월 20일
취약점 식별자: NR20-02
우선순위: 중간
영향을 받는 소프트웨어
영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.
이름 | 영향을 받는 버전 | 수정된 버전 |
---|---|---|
Node.js 에이전트 | < 6.12.1 | 6.12.1 |
취약점 정보
사용자가 request.uri
속성을 제외하도록 Node.js 에이전트를 구성하더라도 에이전트는 여전히 트랜잭션 추적의 URI를 캡처합니다. 이를 통해 인증된 계정 사용자는 New Relic One 또는 쿼리를 통해 트랜잭션 추적 세부 정보를 볼 수 있는 모든 곳에서 URI를 볼 수 있습니다. 여기에는 트랜잭션 페이지의 트랜잭션 추적 섹션, 트랜잭션 추적 세부 정보 및 UI의 쿼리 작성기가 포함되지만 이에 국한되지 않습니다.
완화 요인
이는 request.uri
속성을 제외하도록 구성된 Node.js 에이전트에만 영향을 미칩니다.
해결 방법
New Relic에 보안 취약점 보고
New Relic은 고객과 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 에 대한 설명서를 참조하십시오.