Résumé
Les paramètres de demande sont ajoutés en tant qu'attribut de segment, même lorsque l'agent est configuré avec le mode haute sécurité ou des politiques de sécurité configurables. Cela peut entraîner la collecte de données inattendues.
Release date: 1er avril 2019
Vulnerability identifier: NR19-02
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Nom | Version concernée | Remarques | Version corrigée |
|---|---|---|---|
Agent Node.js | 3.0.0-5.6.2 | 5.6.3 |
informations sur les vulnérabilités
De par leur conception, les paramètres de demande sont ajoutés en tant qu'attribut de segment. Les paramètres de demande doivent être ignorés lorsque l'agent est configuré avec le mode haute sécurité ou la politique de sécurité configurable attributes_include .
Facteurs atténuants
Affecte uniquement les agents configurés avec le mode Haute sécurité ou la politique de sécurité configurable attributes_include .
Solutions de contournement
- Définissez
attributed.enabledsurfalsepour empêcher la collecte de tous les attributs. - Mise à jour vers le dernier agent New Relic Node.js.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.