Resumo
Uma atualização de segurança para o agente .NET da New Relic corrige vulnerabilidades em que o agente poderia capturar involuntariamente o parâmetro de consulta de solicitações HTTP externas durante um rastreamento da transação.
Release date: 18 de dezembro de 2017
Vulnerability identifier: NR17-06
Priority: Médio
Software afetado
As seguintes versões do agente New Relic são afetadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente .NET | 5.11.0 - 6.19.330 | Rastreamento da transação |
Informações sobre vulnerabilidades
O agente .NET da New Reliccaptura um rastreamento da transação para obter informações detalhadas sobre uma única transação, incluindo chamadas de função, chamadas de banco de dados e chamadas externas. Por padrão, o agente não deve coletar detalhes de chamadas externas (solicitações HTTP). Versões anteriores do agente coletarão o parâmetro de solicitação http externo que pode conter informações confidenciais. Esta versão corrige o comportamento padrão do agente .NET para não coletar o parâmetro request de solicitações HTTP externas.
Fatores mitigantes
- consulta parâmetro utilizado em requisições HTTP externas feitas utilizando HttpClient, WebRequest, ou outra biblioteca que utilize essas chamadas.
- Rastreamento da transação ativado (configuração padrão)
Soluções alternativas
Desative o rastreamento da transação na configuração do agente .NET.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.
Para obter mais ajuda
Recursos de documentação adicionais incluem:.