Resumo
Uma atualização de segurança para o agente .NET da New Relic corrige vulnerabilidades que possibilitavam ao agente enviar informações confidenciais para New Relic durante um trace de erro, capturando o parâmetro de consulta do cabeçalho do referenciador.
Release date: 12 de janeiro de 2017
Vulnerability identifier: NR17-02
Priority: Médio
Software afetado
As seguintes versões do agente New Relic são afetadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente .NET | 5.11 - 5.23 | Somente quando o Async está ativado | |
Agente .NET | 6,0 - 6,5 |
Informações sobre vulnerabilidades
O agente .NET da New Relic coleta os cabeçalhos de solicitação durante um trace de erro para ajudar a determinar a causa raiz dos problemas. O cabeçalho do referenciador é o URI que identifica o endereço da página da web vinculada ao recurso que está sendo solicitado. É possível que o URI referenciador contenha informações confidenciais no parâmetro de consulta da solicitação. New Relic descobriu que os parâmetros de consulta não foram removidos corretamente durante o trace de erros. Esta atualização corrige isso removendo o parâmetro consulta do referenciador no cabeçalho da solicitação antes de enviar esses dados para o New Relic.
Fatores mitigantes
- O assíncrono está desabilitado por padrão nas versões 5.11.0 - 5.23.0 do agente .NET.
- As práticas recomendadas recomendam não usar consulta parâmetro para passar dados sensíveis.
Soluções alternativas
New Relic não identificou nenhuma solução alternativa para essas vulnerabilidades.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.
Para obter mais ajuda
Recursos adicionais de documentação incluem: