Résumé
Une mise à jour de sécurité pour l'agent .NET corrige un problème où les noms de métriques ne sont pas correctement identifiés pour les requêtes SQL avec des paramètres qui ont été construits manuellement.
Release date: 26 août 2019
Vulnerability identifier: NR19-05
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Nom | Version concernée | Remarques | Version corrigée |
|---|---|---|---|
Agent .NET | < 8.18.241.0 | 8.18.241.0 | |
Agent .NET | < 6.24.0.0 | 6.24.0.0 |
informations sur les vulnérabilités
Lors de la construction manuelle d'une requête SQL qui exécute des procédures stockées avec des paramètres, un espace manquant avant la première valeur peut amener l'agent à identifier incorrectement le nom de la métrique. Cela peut entraîner l'inclusion de données sensibles dans les noms métriques.
Facteurs atténuants
Cette vulnérabilité affecte uniquement les applications qui assemblent manuellement des requêtes SQL avec des paramètres, sans utiliser de requête paramétrée. Il est recommandé aux applications d'utiliser des requêtes paramétrées pour éviter d'introduire des vulnérabilités injection SQL.
Solutions de contournement
- Utilisez des requêtes paramétrées, cela permet également d'éviter les vulnérabilités injection SQL.
- Mise à jour vers le dernier agent .NET New Relic.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.