이 문서에는 일부 버전의 New Relic 제품 및 서비스에 영향을 줄 수 있는 보안 취약점에 대한 중요한 정보가 포함되어 있습니다. 보안 게시판은 영향을 받는 소프트웨어에 대한 보안 취약성, 치료 전략 및 적용 가능한 업데이트에 대해 알려주는 방법입니다. 자세한 내용은 보안, 데이터 개인 정보 보호 및 규정 준수 에 대한 설명서를 참조하거나 New Relic 보안 웹 사이트 를 방문하십시오.
보안 알림 받기
이메일 알림을 받으려면 지원 포럼의 보안 알림 커뮤니티 채널 에서 시청 옵션을 선택하세요. 또는 구독 RSS 피드 .
APM
APM 에이전트에 대한 보안 게시판에는 취약점 등급 이 포함되어 있습니다.
보안 게시판 | 요약 및 관련 릴리스 정보 | 평가 |
---|---|---|
New Relic은 MEL(Microsoft Extensions Logging)을 사용하는 구성에서 .NET 에이전트를 배포하는 고객이 버전 10.1.0으로 업데이트할 것을 권장합니다. 또는 나중에. | 낮은 | |
NR21-03 , 원래 날짜 2021년 12월 10일 | Java 에이전트는 Apache log4j 로깅 프레임워크 및 절차를 사용하여 CVE-2021-44228 및 CVE-2021-45046을 처리합니다. 게시판에는 작업 항목과 관련 릴리스 정보에 대한 링크가 포함되어 있습니다. | 비판적인 |
NR21-02 , 2021년 4월 26일 | Java 에이전트는 제작된 YAML 페이로드를 구문 분석할 때 제한된 코드 실행으로 이어질 수 있는 YAML 파서를 구현합니다. | 낮은 |
NR20-02 , 2020년 8월 20일 | 속성 구성에서 | 중간 |
NR20-01 , 2020년 1월 16일 | 에이전트는 예외가 발생할 때 전체 SQL 쿼리를 캡처할 수 있습니다. .NET 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR19-05 , 2019년 8월 26일 | 매개변수화되지 않은 쿼리로 생성된 잘못된 메트릭 이름에는 민감한 정보가 포함될 수 있습니다. .NET 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR19-03 , 2019년 4월 22일 | 쿼리 난독화는 Microsoft SQL 서버에서 실패할 수 있습니다. .NET 에이전트 릴리스 정보를 참조하십시오. | 중간 |
NR19-02 , 2019년 4월 1일 | 세그먼트 속성은 높은 보안 모드에서 또는 구성 가능한 보안 정책을 사용할 때 요청 매개변수를 포함할 수 있습니다. Node.js 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR19-01 , 2019년 1월 9일 | OpenRasta 계측은 쿼리 문자열을 캡처할 수 있습니다. .NET 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR18-09 , 2018년 5월 2일 | 에이전트는 | 낮은 |
NR18-08 , 2018년 4월 12일 | 에이전트는 취약한 | 낮은 |
NR18-07 , 2018년 3월 7일 | 에이전트는 DB 쿼리 결과를 New Relic에 보고하거나 SQL 문을 재발행할 수 있습니다. Python , Java 및 .NET 에이전트에 대한 릴리스 정보를 참조하세요. | 높은 |
NR18-06 , 2018년 3월 5일 | 에이전트는 모든 트랜잭션 속성을 캡처할 수 있습니다. Node.js 에이전트 릴리스 정보 를 참조하십시오. | 높은 |
NR18-04 , 2018년 1월 22일 | 높은 보안 모드에서는 오류 메시지가 제거되지 않습니다. .NET 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR18-02 , 2018년 1월 9일 | 에이전트는 SQLite로 SQL 매개변수를 난독화할 수 없습니다. Python 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR18-01 , 2018년 1월 9일 | 에이전트는 높은 보안 모드에서 사용자 지정 API 매개변수를 캡처할 수 있습니다. Python 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR17-06 , 2017년 12월 18일 | 에이전트는 트랜잭션 추적 중에 외부 HTTP 요청 매개변수를 캡처합니다. .NET 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR17-05 , 2017년 5월 30일 | 에이전트는 예외가 발생할 때 전체 SQL 쿼리를 캡처할 수 있습니다. Java 에이전트 릴리스 정보 를 참조하십시오. | 높은 |
NR17-04 , 2017년 5월 5일 | 에이전트는 | 중간 |
NR17-03 , 2017년 2월 9일 | MongoDB 집계 쿼리는 난독화되지 않습니다. Ruby 에이전트 릴리스 정보 를 참조하십시오. | 낮은 |
NR17-02 , 2017년 1월 12일 | 쿼리 매개변수는 오류 추적의 | 중간 |
NR17-01 , 2017년 1월 12일 | 쿼리 매개변수는 오류 추적의 | 중간 |
인프라 모니터링
인프라 모니터링 을 위한 보안 게시판에는 취약성 등급 이 포함됩니다.
보안 게시판 | 요약 및 관련 릴리스 정보 | 평가 |
---|---|---|
NR18-12 , 11/28/18 | Windows 에이전트는 권한이 없는 하드 링크 또는 접합 폴더를 따를 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 정보 참조 | 낮은 |
NR18-11 , 10/8/18 | Windows 에이전트는 시스템 경로에서 권한 있는 바이너리를 실행할 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 정보 를 참조하십시오. | 중간 |
NR18-10 , 6/18/18 | 하드 코딩된 파일 경로를 통해 사용자 제어 구성이 가능합니다. 인프라 모니터링에 대한 에이전트 릴리스 정보 를 참조하십시오. | 높은 |
NR18-05 , 2018년 2월 8일 | 명령줄 옵션이 캡처될 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 정보 를 참조하십시오. | 높은 |
브라우저 모니터링
브라우저 모니터링 을 위한 보안 게시판에는 취약점 등급 이 포함됩니다.
보안 게시판 | 요약 및 관련 릴리스 정보 | 평가 |
---|---|---|
NR21-01 , 2021년 3월 9일 | 인스트루먼트된 HTML 페이지가 운영 체제의 파일 시스템에서 직접 열릴 때 에이전트는 로컬 파일 URI를 적절하게 삭제하지 않습니다. | 중간 |
합성 모니터링
종합 모니터링 을 위한 보안 게시판에는 취약성 등급 이 포함됩니다.
보안 게시판 | 요약 및 관련 릴리스 정보 | 평가 |
---|---|---|
NR22-01 , 2022년 1월 13일 | log4j 버전 1.2.17에서 하위 종속성을 구체적으로 제거하기 위한 컨테이너화된 개인 미니언(CPM) 절차 | 높은 |
NR21-04 , 원래 날짜 2021년 12월 13일 | CVE-2021-44228 및 CVE-2021-45046을 해결하기 위한 CPM(Containerized Private Minion) 절차. 게시판에는 작업 항목과 관련 릴리스 정보에 대한 링크가 포함되어 있습니다. | 비판적인 |
NR19-04 , 2019년 7월 22일 | 민감한 데이터가 로그에 나타날 수 있습니다. 컨테이너화된 비공개 미니언 에 대한 릴리스 정보를 참조하세요. | 중간 |
NR18-03 , 2018년 1월 12일 | Meltdown의 개인 미니언 업데이트(CVE-2017-5754). 컨테이너화된 비공개 미니언 에 대한 릴리스 정보를 참조하세요. | 높은 |
보안 취약점 등급
New Relic에서는 4가지 수준을 사용하여 보안 취약성을 평가합니다.
평가 | 설명 |
---|---|
비판적인 | 데이터의 기밀성 또는 무결성을 손상시키기 위해 악용될 수 있는 New Relic 제품 또는 서비스의 취약점. |
높은 | New Relic은 비정형적이거나 의도하지 않은 정보를 수신하여 데이터의 기밀성 또는 무결성을 잠재적으로 손상시킬 수 있습니다. |
중간 | New Relic은 비정형적이거나 의도하지 않은 정보를 수신할 수 있지만 기본 구성 또는 표준 보안 관행에 따라 손상 위험이 완화됩니다. |
낮은 | New Relic은 비정형적이거나 의도하지 않은 정보를 수신할 수 있지만 취약점을 악용하기 어렵거나 최소한의 영향을 미칩니다. |
New Relic에 보안 취약점 보고
New Relic은 고객과 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품, 서비스 또는 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각하시면 당사의 조정 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 HackerOne을 통한 보안 취약점 보고 에 대한 설명서를 참조하십시오.