Résumé
Une mise à jour de sécurité de l'agent Java a reconfiguré l'analyseur YAML pour inclure un SafeConstructor, ce qui supprime la possibilité d'exécuter du code limité contrôlé par l'utilisateur.
Release date: 26 avril 2021
Vulnerability identifier: NR21-02
Priority: Faible
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Nom | Version concernée | Version corrigée |
|---|---|---|
Agent Java | < 6.4.2 | 6.5.0 |
informations sur les vulnérabilités
Une notation spécifiée, lorsqu'elle est analysée via un appel Yaml.load() non sécurisé, créera un nouvel objet Java et appellera son constructeur, conduisant potentiellement à l'exécution de code. Un attaquant devrait avoir accès à l'hôte de l'agent pour modifier le fichier newrelic.yml afin d'inclure une charge utile conçue qui exécuterait du code arbitraire une fois l'agent démarré.
Facteurs atténuants
Cette vulnérabilité nécessite qu'un attaquant ait déjà accès à l'hôte afin de modifier le fichier de configuration newrelic.yml sur la machine d'une victime, ce qui en soi est un facteur atténuant. Cependant, il existe des mesures supplémentaires que vous pouvez prendre pour corriger complètement ce problème ou renforcer votre système contre celui-ci :
- Mettez à jour votre agent Java pour corriger ces vulnérabilités
- Révoquer les privilèges d'écriture sur votre fichier
newrelic.yml
Solutions de contournement
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de vos données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez notre documentation sur le signalement des vulnérabilités de sécurité.