Resumo
Uma atualização de segurança para New Relic Ruby o agente da corrige vulnerabilidades em que o agente poderia capturar acidentalmente consultas agregadas brutas com o MongoDB. A New Relic recomenda atualizar para a versão corrigida mais recente.
Release date: 9 de fevereiro de 2017
Vulnerability identifier: NR17-03
Priority: Baixo
Software afetado
As seguintes versões do agente New Relic são afetadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente Ruby | 3.13.1 (e superior) | Com driver MongoDB 2.1 (e superior) |
Informações sobre vulnerabilidades
New Relic Ruby O agente da versão 3.13.1 adicionou visibilidade à consulta do MongoDB com a versão 2.1 e superior do driver MongoDB para Ruby. A configuração padrão do agente para mongo.obfuscate_queries é verdadeira. Isso deve fazer com que o agente ofusque os valores na consulta do Mongo antes de enviar essas informações para New Relic. No entanto, ao usar o pipeline agregado com esta versão do driver, as consultas agregadas não foram ofuscadas adequadamente.
Fatores mitigantes
- Somente clientes que usam a versão 2.1 e superior do Ruby Driver para MongoDB são afetados
- Consultas agregadas geralmente não contêm informações confidenciais
Soluções alternativas
O usuário afetado e que não consegue atualizar pode optar por configurar o agente Ruby para não capturar a consulta do mongoDB. o usuário pode definir mongo.capture_queries como falso para evitar que o agente envie qualquer informação sobre a consulta.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.
Para obter mais ajuda
Recursos de documentação adicionais incluem:.