보안 게시판

NR23-01 — 보안 권고

현재 진행 중인 보안 조사와 관련된 자문

NRSG22-01

New Relic은 MEL(Microsoft Extensions Logging)을 사용하는 구성에서 .NET 에이전트를 배포하는 고객이 버전 10.1.0으로 업데이트할 것을 권장합니다. 또는 나중에.

낮은

NR21-03 , 원래 날짜 2021년 12월 10일

Java 에이전트는 Apache log4j 로깅 프레임워크 및 절차를 사용하여 CVE-2021-44228 및 CVE-2021-45046을 처리합니다. 게시판에는 작업 항목과 관련 릴리스 정보에 대한 링크가 포함되어 있습니다.

비판적인

NR21-02 , 2021년 4월 26일

Java 에이전트는 제작된 YAML 페이로드를 구문 분석할 때 제한된 코드 실행으로 이어질 수 있는 YAML 파서를 구현합니다.

낮은

NR20-02 , 2020년 8월 20일

속성 구성에서 request.uri 이 비활성화된 경우 에이전트는 트랜잭션 추적에서 URI를 제거하지 않습니다. Node.js 에이전트 릴리스 정보 를 참조하십시오.

중간

NR20-01 , 2020년 1월 16일

에이전트는 예외가 발생할 때 전체 SQL 쿼리를 캡처할 수 있습니다. .NET 에이전트 릴리스 정보 를 참조하십시오.

중간

NR19-05 , 2019년 8월 26일

매개변수화되지 않은 쿼리로 생성된 잘못된 메트릭 이름에는 민감한 정보가 포함될 수 있습니다. .NET 에이전트 릴리스 정보 를 참조하십시오.

중간

NR19-03 , 2019년 4월 22일

쿼리 난독화는 Microsoft SQL 서버에서 실패할 수 있습니다. .NET 에이전트 릴리스 정보를 참조하십시오.

중간

NR19-02 , 2019년 4월 1일

세그먼트 속성에는 높은 보안 모드에서 또는 구성 가능한 보안 정책을 사용할 때 요청 매개변수가 포함될 수 있습니다. Node.js 에이전트 릴리스 노트 를 참조하세요.

중간

NR19-01 , 2019년 1월 9일

OpenRasta 계측은 쿼리 문자열을 캡처할 수 있습니다. .NET 에이전트 릴리스 정보 를 참조하십시오.

중간

NR18-09 , 2018년 5월 2일

에이전트는 record_sql 이(가) off (으)로 설정된 경우 민감한 정보를 캡처할 수 있습니다. Java 에이전트 릴리스 정보 를 참조하십시오.

낮은

NR18-08 , 2018년 4월 12일

에이전트는 취약한 https-proxy-agent Node.js 모듈을 사용합니다. Node.js 에이전트 릴리스 정보 를 참조하십시오.

낮은

NR18-07 , 2018년 3월 7일

에이전트는 DB 쿼리 결과를 New Relic에 보고하거나 SQL 문을 재발행할 수 있습니다. Python , Java 및 .NET 에이전트에 대한 릴리스 정보를 참조하세요.

높은

NR18-06 , 2018년 3월 5일

에이전트는 모든 트랜잭션 속성을 캡처할 수 있습니다. Node.js 에이전트 릴리스 정보 를 참조하십시오.

높은

NR18-04 , 2018년 1월 22일

높은 수준의 보안 모드에서는 오류 메시지가 제거되지 않습니다. .NET 에이전트 릴리스 정보를 참조하세요.

중간

NR18-02 , 2018년 1월 9일

에이전트는 SQLite로 SQL 매개변수를 난독화할 수 없습니다. Python 에이전트 릴리스 정보 를 참조하십시오.

중간

NR18-01 , 2018년 1월 9일

에이전트는 높은 보안 모드에서 사용자 정의 API 매개변수를 캡처할 수 있습니다. Python 에이전트 릴리스 정보를 참조하세요.

중간

NR17-06 , 2017년 12월 18일

에이전트는 트랜잭션 추적 중에 외부 HTTP 요청 매개변수를 캡처합니다. .NET 에이전트 릴리스 정보 를 참조하십시오.

중간

NR17-05 , 2017년 5월 30일

에이전트는 예외가 발생할 때 전체 SQL 쿼리를 캡처할 수 있습니다. Java 에이전트 릴리스 정보 를 참조하십시오.

높은

NR17-04 , 2017년 5월 5일

에이전트는 TransactionError 동안 WCF 서비스 요청 매개변수를 캡처합니다. .NET 에이전트 릴리스 정보 를 참조하십시오.

중간

NR17-03 , 2017년 2월 9일

MongoDB 집계 쿼리는 난독화되지 않습니다. Ruby 에이전트 릴리스 정보 를 참조하십시오.

낮은

NR17-02 , 2017년 1월 12일

쿼리 매개변수는 오류 추적의 referer 속성에서 제거되지 않습니다. .NET 에이전트 릴리스 정보 를 참조하십시오.

중간

NR17-01 , 2017년 1월 12일

쿼리 매개변수는 오류 추적의 referer 속성에서 제거되지 않습니다. Node.js 에이전트 릴리스 정보 를 참조하십시오.

중간

NR18-12 , 11/28/18

Windows 에이전트는 권한이 없는 하드 링크 또는 접합 폴더를 따를 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 정보 참조

낮은

NR18-11 , 10/8/18

Windows 에이전트는 시스템 경로에서 권한 있는 바이너리를 실행할 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 정보 를 참조하십시오.

중간

NR18-10 , 6/18/18

하드 코딩된 파일 경로를 통해 사용자 제어 구성이 가능합니다. 인프라 모니터링에 대한 에이전트 릴리스 정보 를 참조하십시오.

높은

NR18-05 , 2018년 2월 8일

명령줄 옵션이 캡처될 수 있습니다. 인프라 모니터링에 대한 에이전트 릴리스 정보 를 참조하십시오.

높은

NR21-01 , 2021년 3월 9일

인스트루먼트된 HTML 페이지가 운영 체제의 파일 시스템에서 직접 열릴 때 에이전트는 로컬 파일 URI를 적절하게 삭제하지 않습니다.

중간

NR22-01 , 2022년 1월 13일

log4j 버전 1.2.17에서 하위 종속성을 구체적으로 제거하기 위한 컨테이너화된 개인 미니언(CPM) 절차

높은

NR21-04 , 원래 날짜 2021년 12월 13일

CVE-2021-44228 및 CVE-2021-45046을 해결하기 위한 CPM(Containerized Private Minion) 절차. 게시판에는 작업 항목과 관련 릴리스 정보에 대한 링크가 포함되어 있습니다.

비판적인

NR19-04 , 2019년 7월 22일

민감한 데이터가 로그에 나타날 수 있습니다. 컨테이너화된 비공개 미니언 에 대한 릴리스 정보를 참조하세요.

중간

NR18-03 , 2018년 1월 12일

Meltdown의 개인 미니언 업데이트(CVE-2017-5754). 컨테이너화된 비공개 미니언 에 대한 릴리스 정보를 참조하세요.

높은

비판적인

데이터의 기밀성 또는 무결성을 손상시키기 위해 악용될 수 있는 New Relic 제품 또는 서비스의 취약점.

높은

New Relic은 비정형적이거나 의도하지 않은 정보를 수신하여 데이터의 기밀성 또는 무결성을 잠재적으로 손상시킬 수 있습니다.

중간

New Relic은 비정형적이거나 의도하지 않은 정보를 수신할 수 있지만 기본 구성 또는 표준 보안 관행에 따라 손상 위험이 완화됩니다.

낮은

New Relic은 비정형적이거나 의도하지 않은 정보를 수신할 수 있지만 취약점을 악용하기 어렵거나 최소한의 영향을 미칩니다.