Este documento contém informações importantes sobre vulnerabilidades de segurança que podem afetar algumas versões dos produtos e serviços da New Relic. Os boletins de segurança são uma forma de informá-lo sobre estratégias de correção de vulnerabilidades de segurança e atualizações aplicáveis aos softwares afetados. Para obter mais informações, consulte nossa documentação sobre segurança, privacidade de dados e conformidade ou visite o site de segurança da New Relic.
Obter notificação de segurança
Para ser notificado sobre novos boletins, inscreva-se no Feed RSS.
Em geral
Estes boletins se aplicam a vários recursos ou capacidades da New Relic:
Boletim de segurança | Resumo |
|---|---|
Assessoria relacionada à investigação de segurança concluída em 31 de janeiro de 2024 |
APM
Os boletins de segurança do nosso agente APM incluem uma classificação de vulnerabilidades.
Boletim de segurança | Resumo e notas de versão relacionadas | Avaliação |
|---|---|---|
A New Relic recomenda que os clientes que implantarem o agente .NET em uma configuração utilizando Microsoft Extensions Logging (MEL) atualizem para a versão 10.1.0 ou mais tarde. | Baixo | |
NR21-03, data original 10/12/2021 | O agente Java usa a framework de criação de log Apache log4j e procedimentos para abordar CVE-2021-44228 e CVE-2021-45046. O boletim inclui itens de ação e links para notas de versão relacionadas. | Crítico |
NR21-02, 26/04/2021 | O agente Java implementa um analisador YAML que pode levar à execução limitada de código ao analisar uma carga YAML criada. | Baixo |
NR20-02, 20/08/2020 | O agente não remove o URI do trace da transação quando | Médio |
NR20-01, 16/01/2020 | O agente pode capturar consultas SQL completas quando ocorre uma exceção. Consulte as notas de versão do agente .NET. | Médio |
NR19-05, 26/08/2019 | Nomes de métricas incorretos criados com consulta não parametrizada podem conter informações confidenciais. Consulte as notas de versão do agente .NET. | Médio |
NR19-03, 22/04/2019 | A ofuscação de consulta pode falhar no Microsoft SQL Server. Consulte as notas de versão do agente .NET . | Médio |
NR19-02, 01/04/2019 | O atributo do segmento pode incluir parâmetro de solicitação em modo de alta segurança ou ao utilizar políticas de segurança configuráveis. Consulte as notas de versão do agente Node.js. | Médio |
NR19-01, 09/01/2019 | A instrumentação OpenRasta pode capturar strings de consulta. Consulte as notas de versão do agente .NET. | Médio |
NR18-09, 02/05/2018 | O agente pode capturar dados confidenciais quando | Baixo |
NR18-08, 12/04/2018 | O agente usa um módulo Node.js | Baixo |
NR18-07, 07/03/2018 | O agente pode reportar os resultados da consulta ao banco de dados para a New Relic ou reemitir uma instrução SQL. Consulte as notas de versão do agente Python, Java e .NET . | Alto |
NR18-06, 05/03/2018 | O agente poderá capturar todos os atributos da transação. Consulte as notas de versão do agente Node.js. | Alto |
NR18-04, 22/01/2018 | Mensagem de erro não são removidas no modo de alta segurança. Consulte as notas de versão do agente .NET. | Médio |
NR18-02, 09/01/2018 | O agente não pode ofuscar parâmetros SQL com SQLite. Consulte as notas de lançamento do agente Python. | Médio |
NR18-01, 09/01/2018 | O agente pode capturar parâmetros de API personalizados em modo de alta segurança. Consulte as notas de lançamento do agente Python. | Médio |
NR17-06, 18/12/2017 | O agente captura o parâmetro de solicitação HTTP externo durante um rastreamento da transação. Consulte as notas de versão do agente .NET. | Médio |
NR17-05, 30/05/2017 | O agente pode capturar consultas SQL completas quando ocorre uma exceção. Consulte as notas sobre a versão do agente Java. | Alto |
NR17-04, 05/05/2017 | O agente captura o parâmetro de solicitação de serviço WCF durante um | Médio |
NR17-03, 09/02/2017 | Consulta agregada do MongoDB não ofuscada. Consulte as notas de versão do agente Ruby. | Baixo |
NR17-02, 12/01/2017 | Os parâmetros de consulta não são removidos do atributo | Médio |
NR17-01, 12/01/2017 | Os parâmetros de consulta não são removidos do atributo | Médio |
Monitoramento de infraestrutura
Os boletins de segurança para monitoramento de infraestrutura incluem uma classificação de vulnerabilidades.
Boletim de segurança | Resumo e notas de versão relacionadas | Avaliação |
|---|---|---|
NR18-12, 28/11/18 | O agente do Windows pode seguir links físicos ou pastas de junção sem privilégios. Consulte as notas de versão do agente para monitoramento de infraestrutura | Baixo |
NR18-11, 08/10/18 | O agente Windows pode executar binários privilegiados no caminho do sistema. Consulte as notas de versão do agente para monitoramento de infraestrutura. | Médio |
NR18-10, 18/06/18 | O caminho do arquivo codificado permite configuração controlada pelo usuário. Consulte as notas de versão do agente para monitoramento de infraestrutura. | Alto |
NR18-05, 08/02/2018 | As opções de linha de comando podem ser capturadas. Consulte as notas de versão do agente para monitoramento de infraestrutura. | Alto |
Monitoramento de browser
Os boletins de segurança para incluem uma classificação de vulnerabilidades.
Boletim de segurança | Resumo e notas de versão relacionadas | Avaliação |
|---|---|---|
NR21-01, 09/03/2021 | O agente não limpa adequadamente os URIs de arquivos locais quando uma página HTML instrumentada é aberta diretamente do sistema de arquivos do sistema operacional. | Médio |
Monitoramento sintético
Os boletins de segurança para monitoramento sintético incluem uma classificação de vulnerabilidades.
Boletim de segurança | Resumo e notas de versão relacionadas | Avaliação |
|---|---|---|
NR22-01, 13/01/2022 | Procedimentos de minion privado conteinerizado (chamadas por minuto) para remover especificamente subdependências no log4j versão 1.2.17 | Alto |
NR21-04, data original 13/12/2021 | Procedimentos de minion privado conteinerizado (chamadas por minuto) para atender CVE-2021-44228 e CVE-2021-45046. O boletim inclui itens de ação e links para notas de versão relacionadas. | Crítico |
NR19-04, 22/07/2019 | Dados confidenciais podem aparecer no log. Consulte as notas de lançamento do minion privado em contêiner. | Médio |
NR18-03, 12/01/2018 | Atualize minion privado para Meltdown (CVE-2017-5754). Consulte as notas de lançamento do minion privado em contêiner. | Alto |
Classificações de vulnerabilidades de segurança
Na New Relic, usamos quatro níveis para avaliar vulnerabilidades de segurança.
Avaliação | Descrição |
|---|---|
Crítico | Vulnerabilidades em um produto ou serviço da New Relic que podem ser exploradas para comprometer a confidencialidade ou integridade dos seus dados. |
Alto | É provável que informações atípicas ou não intencionais sejam recebidas pela New Relic, comprometendo potencialmente a confidencialidade ou integridade dos seus dados. |
Médio | Informações atípicas ou não intencionais podem ser recebidas pela New Relic, mas o risco de comprometimento é mitigado pela configuração padrão ou pelas práticas de segurança padrão. |
Baixo | Informações atípicas ou não intencionais podem ser recebidas pela New Relic, mas as vulnerabilidades seriam difíceis de explorar ou teriam impacto mínimo. |
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos, serviços ou sites, agradecemos e agradecemos muito que você relate isso ao nosso programa de divulgação coordenado. Para obter mais informações, consulte nossa documentação sobre como relatar vulnerabilidades de segurança.