Résumé
Une mise à jour de sécurité pour l'agent d'infrastructure pour empêcher la capture des paramètres de ligne de commande.
Release date: 8 février 2018
Vulnerability identifier: NR18-05
Priority: Haut
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agent d'infrastructure | 1.0.822 - 1.0.872 | traced'erreur |
informations sur les vulnérabilités
L'agent d'infrastructure de New Relic collecte des informations sur les processus en cours d'exécution, y compris la ligne de commande du processus. Le paramètre de configuration par défaut strip_command_line: true doit empêcher l'envoi de paramètres de ligne de commande supplémentaires à New Relic. Avec certaines options de ligne de commande, l'agent capturera les paramètres de ligne de commande supplémentaires même avec ce paramètre activé.
Facteurs atténuants
- En règle générale, les données sensibles ne feront pas partie des options de ligne de commande.
- Sur le système Linux, les paramètres de la ligne de commande ne seront collectés que si les arguments de la ligne de commande (indicateurs) ont des chemins avec un élément séparateur de chemin (
/). - Sur le système Windows , les paramètres de la ligne de commande ne seront collectés que si la ligne de commande comporte des commutateurs commençant par
/ou-et contient des éléments séparateurs de chemin (\).
Solutions de contournement
La seule solution à ce problème est de mettre à jour l'agent d'infrastructure.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.
Pour plus d'aide
Les ressources de documentation supplémentaires incluent :.