Resumo
Uma atualização de segurança para o agente Node.js da New Relic elimina uma vulnerabilidade que permite a divulgação de informações confidenciais em potencial por meio de parâmetro de consulta do cabeçalho do referenciador.
Release date: 12 de janeiro de 2017
Vulnerability identifier: NR17-01
Priority: Médio
Software afetado
As seguintes versões do agente New Relic são afetadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente Node.js. | 1.25.4 | ||
Agente Node.js. | 2,0 |
Informações sobre vulnerabilidades
O agente Node.js da New Relic coleta os cabeçalhos de solicitação durante um trace de erro para ajudar a determinar a causa raiz dos problemas. O cabeçalho do referenciador é o URI que identifica o endereço da página da web vinculada ao recurso que está sendo solicitado. É possível que o URI do referenciador contenha informações confidenciais no parâmetro de consulta da solicitação. New Relic descobriu que os parâmetros de consulta não foram removidos corretamente durante o trace de erros. Esta atualização corrige isso removendo o parâmetro consulta do referenciador no cabeçalho da solicitação antes de enviar esses dados para o New Relic.
Fatores mitigantes
- As práticas recomendadas recomendam não usar consulta parâmetro para passar dados sensíveis.
Soluções alternativas
New Relic não identificou nenhuma solução alternativa para essas vulnerabilidades.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.
Para obter mais ajuda
Recursos de documentação adicionais incluem:.