Résumé
Une mise à jour de sécurité pour l'agent Python pour empêcher les développeurs de capturer accidentellement des paramètres d'API personnalisés en mode haute sécurité.
Release date: 9 janvier 2018
Vulnerability identifier: NR18-01
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agent Python | Mode haute sécurité |
informations sur les vulnérabilités
Un audit interne du mode haute sécurité de Python a révélé que l'agent pouvait envoyer des données supplémentaires à New Relic en personnalisant les paramètres de message avec les API de tracing. Des paramètres personnalisés peuvent être envoyés à New Relic si un développeur transmet des paramètres supplémentaires à l'aide de l'API trace de fonction ou de l'API trace de message. Ceux-ci doivent être désactivés lorsque le mode haute sécurité est activé.
Facteurs atténuants
- Cela affecte uniquement les clients qui ont activé le mode haute sécurité avec l'agent Python et les développeurs ajoutent des informations supplémentaires à l'API de tracing.
Solutions de contournement
Si vous ne parvenez pas à mettre à niveau l'agent, vous pourrez peut-être effectuer les actions suivantes pour vous assurer de ne pas envoyer de données supplémentaires en mode haute sécurité.
- Supprimez tous les paramètres personnalisés de l’ API de trace de fonction ou de l’ API de trace de message.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.
Pour plus d'aide
Les ressources de documentation supplémentaires incluent :.