• 로그인지금 시작하세요

사용자의 편의를 위해 제공되는 기계 번역입니다.

영문본과 번역본이 일치하지 않는 경우 영문본이 우선합니다. 보다 자세한 내용은 이 페이지를 방문하시기 바랍니다.

문제 신고

보안 게시판 NR21-02

요약

Java 에이전트에 대한 보안 업데이트는 제한된 사용자 제어 코드를 실행하는 기능을 제거하는 SafeConstructor를 포함하도록 YAML 파서를 재구성했습니다.

출시일: 2021년 4월 26일

취약점 식별자: NR21-02

우선 순위: 낮음

영향을 받는 소프트웨어

영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.

이름

영향을 받는 버전

수정된 버전

자바 에이전트

< 6.4.2

6.5.0

취약점 정보

지정된 표기법은 안전하지 않은 Yaml.load() 호출을 통해 구문 분석될 때 새 Java 객체를 생성하고 해당 생성자를 호출하여 잠재적으로 코드 실행으로 이어집니다. 공격자는 에이전트가 시작되면 임의 코드를 실행하는 조작된 페이로드를 포함하도록 newrelic.yml 파일을 편집하기 위해 에이전트의 호스트에 액세스할 수 있어야 합니다.

완화 요인

이 취약점은 공격자가 피해자 시스템의 newrelic.yml 구성 파일을 수정하기 위해 이미 호스트에 액세스할 수 있어야 하며, 이는 자체적으로 완화 요소입니다. 그러나 이 문제를 완전히 패치하거나 시스템을 강화하기 위해 취할 수 있는 추가 단계가 있습니다.

  • 이 취약점을 패치하려면 Java 에이전트를 업데이트하십시오.
  • newrelic.yml 파일에 대한 쓰기 권한 취소

해결 방법

New Relic에 보안 취약점 보고

New Relic은 고객과 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 에 대한 설명서를 참조하십시오.

Copyright © 2022 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.