Resumen
Una actualización de seguridad para el agente Python para mejorar la ofuscación de SQL con SQLite.
Release date: 9 de enero de 2018
Vulnerability identifier: NR18-02
Priority: Medio
Software afectado
Las siguientes versiones del agente New Relic se ven afectadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente Python | Ofuscación SQLite |
Información de vulnerabilidades
El agente Python New Relic debería ofuscar el parámetro de consulta SQL. Esto soluciona un problema en el seguimiento de transacciones de SQLite. Si el parámetro de consulta se pasó con cadenas entre comillas dobles, el agente no estaba ofuscando adecuadamente estos parámetros.
Factores atenuantes
- Generalmente, todas las cadenas de parámetros de consulta SQL deben ser cadenas literales y pasarse entre comillas simples. Sin embargo, la API Python SQLite permite a los desarrolladores utilizar cadenas entre comillas dobles en algunos casos.
Soluciones alternativas
Si no puede actualizar el agente, es posible que pueda realizar las siguientes acciones para asegurarse de no enviar ningún parámetro de consulta SQLite.
- Utilice literales de cadena de comillas simples con SQLite.
- Deshabilite la recopilación de SQL configurando transaction_tracer.record_sql en
off.
Informar vulnerabilidades de seguridad a New Relic
New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte Informar vulnerabilidades de seguridad.
Para más ayuda
Los recursos de documentación adicionales incluyen:.