Résumé
Une mise à jour de sécurité pour l'agent .NET de New Relic corrige une vulnérabilité qui permettait à l'agent d'envoyer des informations sensibles à New Relic lors d'une trace d'erreur en capturant les paramètres de requête à partir de l'en-tête du référent.
Release date: 12 janvier 2017
Vulnerability identifier: NR17-02
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agent .NET | 5.11 - 5.23 | Uniquement lorsque Async est activé | |
Agent .NET | 6,0 - 6,5 |
informations sur les vulnérabilités
L'agent .NET de New Relic collecte les en-têtes de requête lors d'une trace d'erreur pour aider à déterminer la cause première des problèmes. L'en-tête de référence est l'URI qui identifie l'adresse de la page Web liée à la ressource demandée. Il est possible que l'URI du référent contienne des informations sensibles dans les paramètres de requête. New Relic a constaté que les paramètres de requête ne sont pas correctement supprimés lors de la trace d'erreur. Cette mise à jour corrige ce problème en supprimant les paramètres de requête du référent dans l'en-tête de la requête avant d'envoyer ces données à New Relic.
Facteurs atténuants
- Async est désactivé par défaut dans les versions 5.11.0 à 5.23.0 de l'agent .NET.
- Les bonnes pratiques recommandent de ne pas utiliser de paramètres de requête pour transmettre des données sensibles.
Solutions de contournement
New Relic n'a identifié aucune solution de contournement pour ces vulnérabilités.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.
Pour plus d'aide
Les ressources de documentation supplémentaires incluent :