• /
  • EnglishEspañol日本語한국어Português
  • Inicia sesiónComenzar ahora

Te ofrecemos esta traducción automática para facilitar la lectura.

En caso de que haya discrepancias entre la versión en inglés y la versión traducida, se entiende que prevalece la versión en inglés. Visita esta página para obtener más información.

Crea una propuesta

Boletín de Seguridad NR18-07

Resumen

Una actualización de seguridad para el agente Java, Python y .NET corrige un problema por el cual el agente puede informar los resultados de la consulta de base de datos a New Relic o volver a emitir una declaración SQL.

Release date: 7 de marzo de 2018

Vulnerability identifier: NR18-07

Priority: Alto

Software afectado

Las siguientes versiones del agente New Relic se ven afectadas:

Name

Affected version

Notes

Remediated version

Agente de Java

3.26.1 a 3.47.0

Consulta SQL

3.47.1

Agente Python

1.1.0.192 a 2.106.0.87

Consulta SQL

2.106.1.88

Agente .NET

2.5.112.0 a 6.21.0.0

7.0.2.0 a 7.1.229

Consulta SQL con MySQL

8.0 o 6.22 (para .NET framework 3.5)

Información de vulnerabilidades

New Relic agente run explica los planes para Slow traza de la transacción y Slow SQL consulta. Las versiones anteriores del agente ejecutarían un plan de explicación en la consulta SQL anteponiendo la consulta con explain. Esto puede causar un problema cuando hay varias declaraciones separadas por punto y coma en una sola consulta. La primera declaración de la cadena devuelve su plan de explicación, pero cualquier declaración posterior puede ejecutarse como una declaración SQL general. Dependiendo del idioma, la biblioteca y la base de datos, el agente puede devolver los resultados de las declaraciones adicionales a New Relic. También es posible que las declaraciones adicionales puedan ejecutar un comando INSERT o UPDATE adicional. Con esta actualización de seguridad, el agente New Relic ya no ejecutará planes explicativos en ninguna consulta que contenga un punto y coma como separador de declaraciones.

Factores atenuantes

  • Muchas bibliotecas y marcos de lenguaje SQL impiden diversas formas de ejecutar múltiples declaraciones con explain.
  • Los planes de explicación están desactivados para las versiones más nuevas del agente .NET.

Soluciones alternativas

Deshabilite explain planes con transacción rastreador en la configuración del agente:

Informar vulnerabilidades de seguridad a New Relic

New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte Informar vulnerabilidades de seguridad.

Para más ayuda

Los recursos de documentación adicionales incluyen:.

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.