Résumé
Une mise à jour de sécurité pour l'agent Node.js de New Relic élimine une vulnérabilité qui permet la divulgation potentielle d'informations sensibles via les paramètres de requête de l'en-tête du référent.
Release date: 12 janvier 2017
Vulnerability identifier: NR17-01
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agent Node.js | 1.25.4 | ||
Agent Node.js | 2.0 |
informations sur les vulnérabilités
L'agent Node.js de New Relic collecte les en-têtes de requête lors d'une trace d'erreur pour aider à déterminer la cause première des problèmes. L'en-tête de référence est l'URI qui identifie l'adresse de la page Web liée à la ressource demandée. Il est possible que l'URI du référent contienne des informations sensibles dans les paramètres de requête. New Relic a constaté que les paramètres de requête ne sont pas correctement supprimés lors de la trace d'erreur. Cette mise à jour corrige ce problème en supprimant les paramètres de requête du référent dans l'en-tête de la requête avant d'envoyer ces données à New Relic.
Facteurs atténuants
- Les bonnes pratiques recommandent de ne pas utiliser de paramètres de requête pour transmettre des données sensibles.
Solutions de contournement
New Relic n'a identifié aucune solution de contournement pour ces vulnérabilités.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.
Pour plus d'aide
Les ressources de documentation supplémentaires incluent :.