Resumo
Os parâmetros da solicitação são adicionados como atributo do segmento, mesmo quando o agente está configurado com modo de alta segurança ou políticas de segurança configuráveis. Isso pode resultar na coleta inesperada de dados.
Release date: 1º de abril de 2019
Vulnerability identifier: NR19-02
Priority: Médio
Software afetado
As seguintes versões do agente New Relic são afetadas:
Nome | Versão afetada | Notas | Versão corrigida |
|---|---|---|---|
Agente Node.js. | 3.0.0-5.6.2 | 5.6.3 |
Informações sobre vulnerabilidades
Por design, os parâmetros de solicitação são adicionados como atributo do segmento. O parâmetro request deve ser ignorado quando o agente estiver configurado com modo de alta segurança ou política attributes_include segurança configurável.
Fatores mitigantes
Afeta apenas o agente configurado com o modo de alta segurança ou a política attributes_include segurança configurável.
Soluções alternativas
- Defina
attributed.enabledcomofalsepara evitar que todos os atributos sejam coletados. - Atualize para o agente New Relic Node.js mais recente.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.