Resumen
Una actualización de seguridad para el agente .NET corrige un problema por el cual los nombres de métricas no se identifican correctamente para consultas SQL con parámetros que se han construido manualmente.
Release date: 26 de agosto de 2019
Vulnerability identifier: NR19-05
Priority: Medio
Software afectado
Las siguientes versiones del agente New Relic se ven afectadas:
Nombre | Versión afectada | Notas | Versión remediada |
|---|---|---|---|
Agente .NET | < 8.18.241.0 | 8.18.241.0 | |
Agente .NET | <6.24.0.0 | 6.24.0.0 |
Información de vulnerabilidades
Al construir manualmente consultas SQL que ejecutan procedimientos almacenados con parámetro, un espacio faltante antes del primer valor puede hacer que el agente identifique incorrectamente el nombre de la métrica. Esto puede dar lugar a que se incluyan datos confidenciales en los nombres métricos.
Factores atenuantes
Esta vulnerabilidad solo afecta a aplicaciones que ensamblan manualmente consulta SQL con parámetro, sin utilizar consulta parametrizada. Se recomienda que la aplicación utilice una consulta parametrizada para ayudar a evitar la introducción de vulnerabilidades de inyección SQL.
Soluciones alternativas
- Utilice consulta parametrizada, esto también ayuda a prevenir vulnerabilidades de inyección SQL.
- Actualice al último agente New Relic .NET.
Informar vulnerabilidades de seguridad a New Relic
New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte Informar vulnerabilidades de seguridad.