प्लेटफ़ॉर्म
ruby
घटक
paratrooper-newrelic
में ठीक किया गया
1.0.2
CVE-2014-1234 paratrooper-newrelic gem में एक भेद्यता है, जो Ruby के लिए है। यह भेद्यता स्थानीय उपयोगकर्ताओं को curl प्रक्रिया सूचीबद्ध करके X-Api-Key मान प्राप्त करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का प्रकटीकरण हो सकता है। यह भेद्यता paratrooper-newrelic gem के संस्करण 1.0.1 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, नवीनतम संस्करण में अपडेट करें।
यह भेद्यता स्थानीय हमलावरों को X-Api-Key मान प्राप्त करने की अनुमति देती है। X-Api-Key का उपयोग New Relic API तक पहुंचने के लिए किया जा सकता है, जिससे हमलावर एप्लिकेशन प्रदर्शन डेटा तक पहुंच प्राप्त कर सकते हैं, कॉन्फ़िगरेशन बदल सकते हैं, या अन्य संवेदनशील क्रियाएं कर सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में चिंताजनक है जहां स्थानीय उपयोगकर्ता सिस्टम तक पहुंच रखते हैं। इस भेद्यता का शोषण करने के लिए, एक हमलावर curl प्रक्रिया को सूचीबद्ध करने के लिए एक सरल कमांड का उपयोग कर सकता है, जिससे X-Api-Key मान उजागर हो जाएगा।
CVE-2014-1234 को सार्वजनिक रूप से 2017-10-24 को खुलासा किया गया था। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। CISA KEV सूची में इस CVE को शामिल नहीं किया गया है। भेद्यता की गंभीरता CVSS स्कोर 2.5 (LOW) है, जो कम संभावना का संकेत देती है।
एक्सप्लॉइट स्थिति
EPSS
0.21% (43% शतमक)
CVE-2014-1234 को कम करने का प्राथमिक तरीका paratrooper-newrelic gem को नवीनतम संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, curl प्रक्रिया को सूचीबद्ध करने से रोकने के लिए सिस्टम-स्तरीय अनुमतियों को सीमित करने पर विचार करें। इसके अतिरिक्त, New Relic API तक पहुंच को सीमित करने के लिए WAF (वेब एप्लिकेशन फ़ायरवॉल) नियमों को लागू करें। यह सुनिश्चित करें कि X-Api-Key को सुरक्षित रूप से संग्रहीत किया गया है और अनधिकृत पहुंच से सुरक्षित है। अपडेट के बाद, यह सत्यापित करें कि X-Api-Key अब curl प्रक्रिया में उजागर नहीं है।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2014-1234 paratrooper-newrelic gem में एक भेद्यता है जो स्थानीय उपयोगकर्ताओं को curl प्रक्रिया सूचीबद्ध करके X-Api-Key मान प्राप्त करने की अनुमति देती है।
यदि आप paratrooper-newrelic gem के संस्करण 1.0.1 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2014-1234 को ठीक करने के लिए, paratrooper-newrelic gem को नवीनतम संस्करण में अपडेट करें।
इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं है, लेकिन इसका शोषण किया जा सकता है।
अधिक जानकारी के लिए, कृपया New Relic सुरक्षा सलाहकार देखें: [https://www.newrelic.com/security/advisory/newrelic-security-advisory-cve-2014-1234](https://www.newrelic.com/security/advisory/newrelic-security-advisory-cve-2014-1234)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।