보안 게시판

NR23-01 — 보안 권고

현재 진행 중인 보안 조사와 관련된 자문

NRSG22-01

MEL(Microsoft Extensions Logging)을 사용하는 구성에서 .NET 에이전트를 배포하는 고객은 버전 10.1.0 이상으로 업데이트할 것을 권합니다.

낮음

NR21-03, 원래 날짜 2021년 12월 10일

CVE-2021-44228 및 CVE-2021-45046와 관련한 Java 에이전트의 Apache log4j 로깅 프레임워크의 사용법과 절차를 설명합니다. 게시판에는 작업 항목과 관련 릴리스 노트에 대한 링크가 포함되어 있습니다.

중요

NR21-02, 2021년 4월 26일

Java 에이전트는 생성된 YAML 페이로드를 구문 분석할 때 코드 실행이 제한될 수 있는 YAML 파서를 구현합니다.

낮음

NR20-02, 2020년 8월 20일

에이전트는 속성 구성에서 request.uri가 비활성화된 경우 프로세서 트레이스에서 URI를 제거하지 않습니다. Node.js 에이전트 릴리스 노트를 참조하십시오.

중간

NR20-01, 2020년 1월 16일

에이전트는 예외가 발생하면 전체 SQL 쿼리를 캡처할 수 있습니다. .NET 에이전트 릴리스 정보를 참조하십시오.

중간

NR19-05, 2019년 8월 26일

매개변수화되지 않은 쿼리로 생성된 잘못된 메트릭 이름에는 민감한 정보가 포함될 수 있습니다. .NET 에이전트 릴리스 정보를 참조하십시오.

중간

NR19-03, 2019년 4월 22일

Microsoft SQL Server에서는 쿼리 난독화가 실패할 수 있습니다. .NET 에이전트 릴리스 정보를 참조하십시오.

중간

NR19-02, 2019년 4월 1일

세그먼트 속성에는 높은 보안 모드에서 또는 설정 가능한 보안 정책을 사용할 때 요청 파라미터가 포함될 수 있습니다. Node.js 에이전트 릴리스 노트를 참조하십시오.

중간

NR19-01, 2019년 1월 9일

OpenRasta 계측은 쿼리 문자열을 캡처할 수 있습니다. .NET 에이전트 릴리스 노트를 참조하십시오.

중간

NR18-09, 2018년 5월 2일

record_sql off로 설정된 경우 에이전트가 민감한 데이터를 캡처할 수 있습니다. Java 에이전트 릴리스 노트를 참조하십시오.

낮음

NR18-08, 2018년 4월 12일

에이전트는 취약한 https-proxy-agent Node.js 모듈을 사용합니다. Node.js 에이전트 릴리스 노트를 참조하십시오.

낮음

NR18-07, 2018년 3월 7일

에이전트는 DB 쿼리 결과를 뉴렐릭에게 보고하거나 SQL 문을 재발행할 수 있습니다. Python, Java 및 .NET 에이전트에 대한 릴리스 정보를 참조하십시오.

높음

NR18-06, 2018년 3월 5일

에이전트는 모든 트랜잭션 속성을 캡처할 수 있습니다. Node.js 에이전트 릴리스 노트를 참조하십시오.

높음

NR18-04, 2018년 1월 22일

높은 수준의 보안 모드에서는 오류 메시지가 제거되지 않습니다. .NET 에이전트 릴리스 노트를 참조하십시오.

중간

NR18-02, 2018년 1월 9일

에이전트는 SQLite를 사용하여 SQL 파라미터를 난독화할 수 없습니다. Python 에이전트 릴리스 노트를 참조하십시오.

중간

NR18-01, 2018년 1월 9일

에이전트는 높은 수준의 보안 모드에서 커스텀 API 파라미터를 캡처할 수 있습니다. Python 에이전트 릴리스 노트를 참조하십시오.

중간

NR17-06, 2017년 12월 18일

에이전트는 트랜잭션 트레이스 중에 외부 HTTP 요청 파라미터를 캡처합니다. .NET 에이전트 릴리스 노트를 참조하십시오.

중간

NR17-05, 2017년 5월 30일

에이전트는 예외가 발생하면 전체 SQL 쿼리를 캡처할 수 있습니다. Java 에이전트 릴리스 노트를 참조하십시오.

높음

NR17-04, 2017년 5월 5일

에이전트는 TransactionError 동안 WCF 서비스 요청을 캡처합니다. .NET 에이전트 릴리스 노트를 참조하십시오.

중간

NR17-03, 2017년 2월 9일

MongoDB 집계 쿼리는 난독화되지 않습니다. Ruby 에이전트 릴리스 노트를 참조하십시오.

낮음

NR17-02, 2017년 1월 12일

쿼리 파라미터는 오류 트레이스의 referer 속성에서 제거되지 않습니다. .NET 에이전트 릴리스 노트를 참조하십시오.

중간

NR17-01, 2017년 1월 12일

쿼리 파라미터는 오류 트레이스의 referer 속성에서 제거되지 않습니다. Node.js 에이전트 릴리스 노트를 참조하십시오.

중간

NR18-12, 2018년 11월 28일

Windows 에이전트는 권한이 없는 하드 링크나 정션 폴더를 따를 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 노트를 참조하십시오.

낮음

NR18-11, 2018년 10월 8일

Windows 에이전트는 시스템 경로에서 권한 있는 바이너리를 실행할 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 노트를 참조하십시오.

중간

NR18-10, 2018년 6월 18일

하드 코딩된 파일 경로를 통해 사용자가 구성을 제어할 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 노트를 참조하십시오.

높음

NR18-05, 2018년 2월 8일

명령줄 옵션이 캡처될 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 노트를 참조하십시오.

높음

NR21-01, 2021년 3월 9일

에이전트는 운영 시스템의 파일 시스템에서 직접 계측된 HTML 페이지를 열 때 로컬 파일 URI를 적절하게 위생처리하지 않습니다.

중간

NR22-01, 2022년 1월 13일

log4j 버전 1.2.17에서 하위 종속성을 제거하기 위한 컨테이너화된 프라이빗 미니언(CPM) 절차를 설명합니다.

높음

NR21-04, 원래 날짜 2021년 12월 13일

CVE-2021-44228 및 CVE-2021-45046과 관련된 컨테이너화된 프라이빗 미니언(CPM) 절차를 설명합니다. 게시판에는 작업 항목과 관련 릴리스 정보에 대한 링크가 포함되어 있습니다.

중요

NR19-04, 2019년 7월 22일

민감한 데이터가 로그에 나타날 수 있습니다. 컨테이너화된 프라이빗 미니언에 대한 릴리스 노트를 참조하십시오.

중간

NR18-03, 2018년 1월 12일

Meltdown(CVE-2017-5754)을 위한 프라이빗 미니언을 업데이트할 필요가 있습니다. 컨테이너화된 프라이빗 미니언에 대한 릴리스 노트를 참조하십시오.

높음

중요

데이터의 기밀성이나 무결성을 손상시키는 데 악용될 수 있는 뉴렐릭 제품 또는 서비스의 취약점입니다.

높음

뉴렐릭이 비정형적이거나 의도하지 않은 정보를 수신했을 가능성이 높으며, 이로 인해 데이터의 기밀성이나 무결성이 손상될 가능성이 있습니다.

중간

뉴렐릭이 비정형적이거나 의도하지 않은 정보를 수신했을 가능성이 있지만 기본 설정이나 표준 보안 관행을 통해 손상 위험이 완화됩니다.

낮음

뉴렐릭이 비정형적이거나 의도하지 않은 정보를 수신했을 가능성이 있지만 취약점을 악용하기 어렵거나 영향이 최소화됩니다.