PT-2021-14861 · Elastic · Apm Agent For Go
Rob Liebowitz
·
Publicado
2021-02-10
·
Atualizado
2021-05-18
·
CVE-2021-22133
CVSS v2.0
2.7
Baixa
| Vetor | AV:A/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Agente Elastic APM para Go em versões anteriores à 1.11.0
Descrição
O problema ocorre quando o aplicativo entra em pânico, o que pode levar ao vazamento de informações confidenciais do cabeçalho HTTP. Normalmente, o agente APM sanitiza os detalhes confidenciais do cabeçalho HTTP antes de enviá-los ao servidor APM. No entanto, durante um pânico do aplicativo, é possível que esses cabeçalhos não sejam sanitizados antes de serem enviados.
Recomendações
Para o agente Elastic APM para Go em versões anteriores à 1.11.0, atualize para a versão 1.11.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere implementar medidas adicionais de sanitização de logs para minimizar o risco de vazamento de informações confidenciais dos cabeçalhos HTTP durante panics da aplicação.
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apm Agent For Go