Résumé
Une mise à jour de sécurité de l'agent du navigateur détectera file:// schémas d'URI et arrêtera toute autre exécution et collecte de données si elles sont détectées.
Release date: 9 mars 2021
Vulnerability identifier: NR21-01
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Nom | Version concernée | Version corrigée |
|---|---|---|
Agent Browser | < v1205 | v1208 |
informations sur les vulnérabilités
Les navigateurs peuvent restituer des fichiers locaux sur une machine hôte en utilisant le schéma d'URI file:// décrit dans la RFC 8089. Pendant le cycle de collecte de l'agent, cet URI file:// sera enregistré comme point de données pageURL. Cela peut entraîner la collecte de données potentiellement sensibles incluses dans le chemin du fichier local, telles que le chemin du répertoire de la page Web enregistrée et tout nom ou information sur l'entreprise dans le chemin du répertoire. Vous trouverez plus d'informations sur l'URI file:// dans la RFC 8089
Facteurs atténuants
Une personne doit à la fois télécharger une page Web avec l’agent de navigateur configuré et ouvrir le fichier dans un navigateur. Les fichiers HTML chargés sans le schéma d'URI file:// ne sont pas affectés.
Solutions de contournement
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de vos données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez notre documentation sur le signalement des vulnérabilités de sécurité.