Ce document contient des informations importantes concernant les vulnérabilités de sécurité qui pourraient affecter certaines versions des produits et services New Relic. Les bulletins de sécurité sont un moyen pour nous de vous informer des stratégies de correction des vulnérabilités et des mises à jour applicables aux logiciels concernés. Pour plus d'informations, consultez notre documentation sur la sécurité, la confidentialité des données et la conformité, ou visitez le site Web de sécurité de New Relic.
Recevoir une notification de sécurité
Pour être informé des nouveaux bulletins, abonnez-vous au Flux RSS.
Général
Ces bulletins s'appliquent à plusieurs fonctionnalités ou capacités de New Relic :
Bulletin de sécurité | Résumé |
|---|---|
Avis relatif à l'enquête de sécurité conclue le 31 janvier 2024 |
APM
Les bulletins de sécurité de nos agents APM incluent une évaluation des vulnérabilités.
Bulletin de sécurité | Résumé et notes de sortie associées | Notation |
|---|---|---|
New Relic recommande aux clients qui déploient l'agent .NET dans une configuration utilisant Microsoft Extensions Logging (MEL) de mettre à jour vers la version 10.1.0 ou plus tard. | Faible | |
NR21-03, date d'origine 12/10/2021 | L'agent Java utilise le framework et les procédures de logging Apache log4j pour traiter les problèmes CVE-2021-44228 et CVE-2021-45046. Le bulletin comprend des éléments d’action et des liens vers des notes de sortie connexes. | Critique |
NR21-02, 26/04/2021 | L'agent Java implémente un analyseur YAML qui peut conduire à une exécution de code limitée lors de l'analyse d'une charge utile YAML conçue à cet effet. | Faible |
NR20-02, 20/08/2020 | L'agent ne supprime pas l'URI de la trace de transaction lorsque | Moyen |
NR20-01, 16/01/2020 | L'agent peut capturer la requête SQL complète lorsqu'une exception se produit. Voir les notes de sortie de l'agent .NET. | Moyen |
NR19-05, 26/08/2019 | Les noms de métriques incorrects créés avec une requête non paramétrée peuvent contenir des informations sensibles. Voir les notes de sortie de l'agent .NET. | Moyen |
NR19-03, 22/04/2019 | obfuscation des requêtes peut échouer sur le serveur Microsoft SQL. Voir les notes de sortie de l'agent .NET . | Moyen |
NR19-02, 01/04/2019 | L'attribut de segment peut inclure des paramètres de demande en mode haute sécurité ou lors de l'utilisation de politiques de sécurité configurables. Voir les notes de sortie de l'agent Node.js | Moyen |
NR19-01, 09/01/2019 | L'instrumentation OpenRasta peut capturer des chaînes de requête. Voir les notes de sortie de l'agent .NET. | Moyen |
NR18-09, 02/05/2018 | L'agent peut capturer des données sensibles lorsque | Faible |
NR18-08, 12/04/2018 | L'agent utilise un module Node.js | Faible |
NR18-07, 07/03/2018 | Les agents peuvent signaler les résultats des requêtes de base de données à New Relic ou réémettre une instruction SQL. Consultez les notes de sortie pour les agents Python, Java et .NET . | Haut |
NR18-06, 05/03/2018 | L'agent peut capturer tous les attributs de transaction. Voir les notes de sortie de l'agent Node.js | Haut |
NR18-04, 22/01/2018 | les messages d'erreur ne sont pas supprimés en mode haute sécurité. Voir les notes de sortie de l'agent .NET. | Moyen |
NR18-02, 09/01/2018 | L'agent ne peut pas masquer les paramètres SQL avec SQLite. Voir les notes de sortie de l'agent Python . | Moyen |
NR18-01, 09/01/2018 | L'agent peut capturer des paramètres API personnalisés en mode haute sécurité. Voir les notes de sortie de l'agent Python . | Moyen |
NR17-06, 18/12/2017 | L'agent capture les paramètres de requête HTTP externes lors d'une trace de transaction. Voir les notes de sortie de l'agent .NET. | Moyen |
NR17-05, 30/05/2017 | L'agent peut capturer la requête SQL complète lorsqu'une exception se produit. Voir les notes de sortie de l'agent Java . | Haut |
NR17-04, 5/5/2017 | L'agent capture les paramètres de demande de service WCF pendant un | Moyen |
NR17-03, 09/02/2017 | La requête d'agrégation MongoDB n'est pas obscurcie. Voir les notes de sortie de l'agent Ruby . | Faible |
NR17-02, 1/12/2017 | Les paramètres de requête ne sont pas supprimés de l'attribut | Moyen |
NR17-01, 1/12/2017 | Les paramètres de requête ne sont pas supprimés de l'attribut | Moyen |
Monitoring de l'infrastructure
Les bulletins de sécurité pour monitoring d'infrastructure incluent une évaluation des vulnérabilités.
Bulletin de sécurité | Résumé et notes de sortie associées | Notation |
|---|---|---|
NR25-01, 01/03/25 | New Relic a sorti de nouvelles versions de plusieurs services de transfert de logpour éliminer l'utilisation des vulnérabilités des plugins récemment annoncées dans les versions de Fluent Bit. | Haut |
NR24-01, 08/06/24 | New Relic a sorti de nouvelles versions de plusieurs services de transfert de logpour éliminer l'utilisation d'une version vulnérable de Fluent Bit récemment annoncée. | Haut |
NR18-12, 28/11/18 | L'agent Windows peut suivre des liens physiques ou des dossiers de jonction non privilégiés. Consultez les notes de sortie de l'agent pour monitoringdes infrastructures | Faible |
NR18-11, 10/8/18 | L'agent Windows peut exécuter des binaires privilégiés dans le chemin système. Consultez les notes de sortie de l'agent pour monitoring de l'infrastructure. | Moyen |
NR18-10, 18/06/18 | Le chemin de fichier codé en dur permet une configuration contrôlée par l'utilisateur. Consultez les notes de sortie de l'agent pour monitoring de l'infrastructure. | Haut |
NR18-05, 08/02/2018 | Les options de ligne de commande peuvent être capturées. Consultez les notes de sortie de l'agent pour monitoring de l'infrastructure. | Haut |
Monitoring de navigateurs
Les bulletins de sécurité pour incluent une évaluation des vulnérabilités.
Bulletin de sécurité | Résumé et notes de sortie associées | Notation |
|---|---|---|
NR21-01, 09/03/2021 | L'agent ne nettoie pas correctement les URI des fichiers locaux lorsqu'une page HTML instrumentée est ouverte directement à partir du système de fichiers du système d'exploitation. | Moyen |
Monitoring synthétique
Les bulletins de sécurité pour monitoring synthétique incluent une note de vulnérabilités.
Bulletin de sécurité | Résumé et notes de sortie associées | Notation |
|---|---|---|
NR22-01, 13/01/2022 | Procédures conteneurisées subordonnées privées (appels par minute) pour supprimer spécifiquement les sous-dépendances sur log4j version 1.2.17 | Haut |
NR21-04, date d'origine 13/12/2021 | Procédures conteneurisées subordonnées privées (appels par minute) pour traiter les CVE-2021-44228 et CVE-2021-45046. Le bulletin comprend des éléments d’action et des liens vers des notes de sortie connexes. | Critique |
NR19-04, 22/07/2019 | Des données sensibles peuvent apparaître dans le log. Voir les notes de sortie pour les conteneurisés subordonnés privés. | Moyen |
NR18-03, 1/12/2018 | Mise à jour subordonnée privée pour Meltdown (CVE-2017-5754). Voir les notes de sortie pour les conteneurisés subordonnés privés. | Haut |
Autre
Les bulletins de sécurité de cette catégorie générale incluent une évaluation des vulnérabilités.
Bulletin de sécurité | Résumé et notes de sortie associées | Notation |
|---|---|---|
NR24-02, 18/07/2024 | Procédures pour résoudre une vulnérabilité dans OpenSSH qui affecte l'exportateur Salesforce New Relic. | Haut |
Évaluation des vulnérabilités de sécurité
Chez New Relic, nous utilisons quatre niveaux pour évaluer les vulnérabilités de sécurité.
Notation | Description |
|---|---|
Critique | Une vulnérabilité dans un produit ou un service New Relic qui pourrait être exploitée pour compromettre la confidentialité ou l'intégrité de vos données. |
Haut | Des informations atypiques ou non intentionnelles sont susceptibles d'être reçues par New Relic, compromettant potentiellement la confidentialité ou l'intégrité de vos données. |
Moyen | Des informations atypiques ou inattendues peuvent être reçues par New Relic, mais le risque de compromission est atténué par la configuration par défaut ou les pratiques de sécurité standard. |
Faible | Des informations atypiques ou non intentionnelles peuvent être reçues par New Relic, mais les vulnérabilités seraient difficiles à exploiter ou auraient un impact minimal. |
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de vos données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits, services ou sites Web, nous vous invitons à le signaler à notre programme de divulgation coordonnée. Pour plus d'informations, consultez notre documentation sur le signalement des vulnérabilités de sécurité.