概要
New Relic の Java エージェントのセキュリティアップデートでは、SQL 難読化が有効な場合に、エージェントが意図せずに完全な SQL クエリをキャプチャしてしまう脆弱性が修正されています。
発売日: 2017年5月30日
脆弱性の識別子: NR17-05
優先度: 高
対象となるソフトウェア
以下のNew Relicエージェントのバージョンが影響を受けます。
名前 | 影響を受けるバージョン | メモ | リメディエーション版 |
|---|---|---|---|
Javaエージェント | 3.0.0-3.39.0 | SQL難読化で |
脆弱性情報
New Relic の Java エージェントは、SQL クエリ情報を難読化するように設定できます。この設定は、高セキュリティ モードが有効な場合に強制されます。New Relic は、SQL 難読化が有効になっている場合、クエリ中に例外がスローされた場合でも、完全な SQL クエリ情報がエラー トレースの一部としてキャプチャされる可能性があることを発見しました。エラー収集中にこの情報の収集を無効にする修正が行われました。お客様には、 Java エージェントの最新バージョンにアップグレードすることをお勧めします。
緩和要因
- SQLの難読化を使用しているJavaエージェントのみが影響を受けます。
回避策
New Relicでは、この脆弱性に対する回避策は確認されていません。
セキュリティの脆弱性をNew Relicに報告
ニューレリックは、お客様とそのデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見したと思われる場合は、New Relic の協調的な情報開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 Reporting security vulnerabilities をご覧ください。
さらにヘルプが必要
その他のドキュメントリソースは以下の通りです。