概要
.NETエージェントのセキュリティアップデートでは、完全なSQLクエリがエージェントログに送信される可能性があるという問題が修正されます。
発売日: 2020年1月16日
脆弱性の識別子: NR20-01
Priority: Medium
対象となるソフトウェア
以下のNew Relicエージェントのバージョンが影響を受けます。
名前 | 影響を受けるバージョン | リメディエーション版 |
|---|---|---|
5.16.71.0 - 8.21.34.0 | 8.23.107.0 | |
5.16.71.0 - 8.21.34.0 | 6.25.0.0 |
脆弱性情報
説明プランを生成するために、SQL クエリのコピーが作成され、実行プランを要求してクエリが再発行されます。説明プランが失敗した場合、エージェントはパラメータ値を含む完全なSQL文を記録することができます。
緩和要因
エージェントは、 DEBUG または FINEST のログレベルに設定されている場合にのみ、この情報を記録します。
回避策
- ロギングレベルが
DEBUGまたはFINESTに設定されていないことを確認してください。 - 説明文のキャプチャを無効にします。
- ログファイルのファイルロケーションが確保されていること。
- 最新のNew Relic .NETエージェントに更新します。
セキュリティの脆弱性をNew Relicに報告
ニューレリックは、お客様とお客様のデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見された場合、New Relic の協調的開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 セキュリティ脆弱性の報告に関するドキュメント をご覧ください。