• /
  • EnglishEspañolFrançais日本語한국어Português
  • Se connecterDémarrer

Cette traduction automatique est fournie pour votre commodité.

En cas d'incohérence entre la version anglaise et la version traduite, la version anglaise prévaudra. Veuillez visiter cette page pour plus d'informations.

Créer un problème

Bulletin de sécurité NR17-03

Résumé

Une mise à jour de sécurité pour l'agent Ruby de New Relic corrige une vulnérabilité où l'agent pouvait capturer involontairement une requête d'agrégation brute avec MongoDB. New Relic recommande de mettre à jour vers la dernière version corrigée.

Release date: 9 février 2017

Vulnerability identifier: NR17-03

Priority: Faible

Logiciels concernés

Les versions d'agent New Relic suivantes sont concernées :

Name

Affected version

Notes

Remediated version

Agent Ruby

3.13.1 (et supérieur)

Avec le pilote MongoDB 2.1 (et supérieur)

3.18.1

informations sur les vulnérabilités

La version 3.13.1 de l'agent Ruby de New Relic a ajouté de la visibilité à la requête MongoDB avec la version 2.1 et supérieure du pilote MongoDB pour Ruby. Le paramètre par défaut de l'agent pour mongo.obfuscate_queries est vrai. Cela devrait amener l'agent à obscurcir les valeurs dans la requête Mongo avant d'envoyer ces informations à New Relic. Cependant, lors de l'utilisation du pipeline d'agrégation avec cette version du pilote, les requêtes d'agrégation n'étaient pas correctement obscurcies.

Facteurs atténuants

  • Seuls les clients qui utilisent la version 2.1 et supérieure du pilote Ruby pour MongoDB sont concernés
  • Les requêtes agrégées ne contiennent généralement pas d'informations sensibles

Solutions de contournement

les utilisateurs concernés et incapables de mettre à niveau peuvent choisir de configurer l'agent Ruby pour ne pas capturer les requêtes mongoDB. l'utilisateur peut définir mongo.capture_queries sur false pour empêcher l'agent d'envoyer des informations sur la requête.

Signaler les vulnérabilités de sécurité à New Relic

New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.

Pour plus d'aide

Les ressources de documentation supplémentaires incluent :.

Droits d'auteur © 2025 New Relic Inc.
RecrutementConditions de servicePolitique DMCAAvis de confidentialitéCookiesLoi britannique sur l'esclavage

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.