Résumé
Une mise à jour de sécurité pour l'agent .NET de New Relic corrige une vulnérabilité où l'agent pouvait capturer involontairement des paramètres de requête à partir requests HTTP externes lors d'une trace de transaction.
Release date: 18 décembre 2017
Vulnerability identifier: NR17-06
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agent .NET | 5.11.0 - 6.19.330 | trace de transaction |
informations sur les vulnérabilités
L'agent .NET de New Relic capture une trace de transaction pour obtenir des informations détaillées sur une transaction unique, y compris les appels de fonction, les appels de base de données et les appels externes. Par défaut, l'agent ne doit pas collecter les détails des appels externes ( requests HTTP). Les versions précédentes de l'agent collecteront les paramètres de requête http externes qui peuvent contenir des informations sensibles. Cette sortie corrige le comportement par défaut de l'agent .NET pour ne pas collecter les paramètres de requête des requests HTTP externes.
Facteurs atténuants
- paramètres de requête utilisés dans requests HTTP externes effectuées à l'aide de HttpClient, WebRequest ou d'une autre bibliothèque qui utilise ces appels.
- trace de transaction activée (paramètre par défaut)
Solutions de contournement
Désactiver trace de transaction dans la configuration de l'agent .NET.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.
Pour plus d'aide
Les ressources de documentation supplémentaires incluent :.