• EnglishEspañol日本語한국어Português
  • 로그인지금 시작하기

사용자의 편의를 위해 제공되는 기계 번역입니다.

In the event of any inconsistency between the English version and the translated version, the English versionwill take priority. Please visit this page for more information.

문제 신고

보안 게시판 NR21-02

요약

Java 에이전트에 대한 보안 업데이트는 제한된 사용자 제어 코드를 실행하는 기능을 제거하는 SafeConstructor를 포함하도록 YAML 파서를 재구성했습니다.

출시일: 2021년 4월 26일

취약점 식별자: NR21-02

우선 순위: 낮음

영향을 받는 소프트웨어

영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.

이름

영향을 받는 버전

수정된 버전

자바 에이전트

< 6.4.2

6.5.0

취약점 정보

지정된 표기법은 안전하지 않은 Yaml.load() 호출을 통해 구문 분석될 때 새 Java 객체를 생성하고 해당 생성자를 호출하여 잠재적으로 코드 실행으로 이어집니다. 공격자는 에이전트가 시작되면 임의 코드를 실행하는 조작된 페이로드를 포함하도록 newrelic.yml 파일을 편집하기 위해 에이전트의 호스트에 액세스할 수 있어야 합니다.

완화 요인

이 취약점은 공격자가 피해자 시스템의 newrelic.yml 구성 파일을 수정하기 위해 이미 호스트에 액세스할 수 있어야 하며, 이는 자체적으로 완화 요소입니다. 그러나 이 문제를 완전히 패치하거나 시스템을 강화하기 위해 취할 수 있는 추가 단계가 있습니다.

  • 이 취약점을 패치하려면 Java 에이전트를 업데이트하십시오.
  • newrelic.yml 파일에 대한 쓰기 권한 취소

해결 방법

New Relic에 보안 취약점 보고

New Relic은 고객과 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 에 대한 설명서를 참조하십시오.

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.