Resumo
Uma atualização de segurança para o agente de infraestrutura para evitar a captura de parâmetro de linha de comando.
Release date: 8 de fevereiro de 2018
Vulnerability identifier: NR18-05
Priority: Alto
Software afetado
As seguintes versões do agente New Relic são afetadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente de infraestrutura | 1.0.822 - 1.0.872 | Trace de erro |
Informações sobre vulnerabilidades
O agente de infraestrutura do New Reliccoleta informações sobre processos em execução, incluindo processo de linha de comando. A configuração de configuração padrão strip_command_line: true deve impedir que parâmetros de linha de comando adicionais sejam enviados para o New Relic. Com algumas opções de linha de comando, o agente irá capturar o parâmetro adicional de linha de comando mesmo com essa configuração habilitada.
Fatores mitigantes
- Geralmente, os dados confidenciais não farão parte das opções da linha de comando.
- Em sistemas Linux, o parâmetro linha de comando só será coletado se os argumentos (flags) da linha de comando possuírem caminhos com um elemento separador de caminho (
/). - Em sistemas Windows, o parâmetro linha de comando só será coletado se a linha de comando tiver opções começando com
/ou-e contiver elementos separadores de caminho (\).
Soluções alternativas
A única solução para este problema é atualizar o agente de infraestrutura.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.
Para obter mais ajuda
Recursos de documentação adicionais incluem:.