Resumo
Uma atualização de segurança para o agente Java reconfigurou o analisador YAML para incluir um SafeConstructor, que remove a capacidade de executar código limitado controlado pelo usuário.
Release date: 26 de abril de 2021
Vulnerability identifier: NR21-02
Priority: Baixo
Software afetado
As seguintes versões do agente New Relic são afetadas:
Nome | Versão afetada | Versão corrigida |
|---|---|---|
Agente Java | <6.4.2 | 6.5.0 |
Informações sobre vulnerabilidades
Uma notação especificada, quando analisada por meio de uma chamada Yaml.load() insegura, criará um novo objeto Java e invocará seu construtor, potencialmente levando à execução do código. Um invasor precisaria ter acesso ao host do agente para editar o arquivo newrelic.yml e incluir uma carga útil criada que executaria código arbitrário assim que o agente fosse inicializado.
Fatores mitigantes
Essas vulnerabilidades exigem que um invasor já tenha acesso ao host para modificar o arquivo de configuração newrelic.yml na máquina da vítima, o que por si só é um fator atenuante. No entanto, existem etapas adicionais que você pode seguir para corrigir completamente esse problema ou proteger seus sistemas contra ele:
- Atualize seu agente Java para corrigir essas vulnerabilidades
- Revogar privilégios de gravação em seu arquivo
newrelic.yml
Soluções alternativas
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte nossa documentação sobre como relatar vulnerabilidades de segurança.