• /
  • EnglishEspañol日本語한국어Português
  • EntrarComeçar agora

Esta tradução de máquina é fornecida para sua comodidade.

Caso haja alguma divergência entre a versão em inglês e a traduzida, a versão em inglês prevalece. Acesse esta página para mais informações.

Criar um problema

Boletim de Segurança NR21-02

Resumo

Uma atualização de segurança para o agente Java reconfigurou o analisador YAML para incluir um SafeConstructor, que remove a capacidade de executar código limitado controlado pelo usuário.

Release date: 26 de abril de 2021

Vulnerability identifier: NR21-02

Priority: Baixo

Software afetado

As seguintes versões do agente New Relic são afetadas:

Nome

Versão afetada

Versão corrigida

Agente Java

<6.4.2

6.5.0

Informações sobre vulnerabilidades

Uma notação especificada, quando analisada por meio de uma chamada Yaml.load() insegura, criará um novo objeto Java e invocará seu construtor, potencialmente levando à execução do código. Um invasor precisaria ter acesso ao host do agente para editar o arquivo newrelic.yml e incluir uma carga útil criada que executaria código arbitrário assim que o agente fosse inicializado.

Fatores mitigantes

Essas vulnerabilidades exigem que um invasor já tenha acesso ao host para modificar o arquivo de configuração newrelic.yml na máquina da vítima, o que por si só é um fator atenuante. No entanto, existem etapas adicionais que você pode seguir para corrigir completamente esse problema ou proteger seus sistemas contra ele:

  • Atualize seu agente Java para corrigir essas vulnerabilidades
  • Revogar privilégios de gravação em seu arquivo newrelic.yml

Soluções alternativas

Relate vulnerabilidades de segurança à New Relic

A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte nossa documentação sobre como relatar vulnerabilidades de segurança.

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.