概要
New Relic の Java エージェントのセキュリティアップデートでは、SQL 難読化が有効な場合に、エージェントが意図せずに完全な SQL クエリをキャプチャしてしまう脆弱性が修正されています。
発売日: 2017年5月30日
脆弱性の識別子: NR17-05
優先度: 高
対象となるソフトウェア
以下のNew Relicエージェントのバージョンが影響を受けます。
名前 | 影響を受けるバージョン | メモ | リメディエーション版 |
|---|---|---|---|
Javaエージェント | 3.0.0-3.39.0 | SQL難読化で |
脆弱性情報
New Relic の Java エージェントは、SQL クエリ情報を難読化するように設定できます。この設定は、 高セキュリティモード が有効な場合に強制的に行われます。New Relic は、SQL 難読化が有効になっている場合、クエリ中に例外が発生すると、SQL クエリの完全な情報がエラートレースの一部として収集されてしまう可能性があることを発見しました。エラー収集時にこの情報の収集を無効にする修正が行われました。お客様におかれましては、最新版の Java エージェント にアップグレードされることをお勧めします。
緩和要因 [#factors]
- SQLの難読化を使用しているJavaエージェントのみが影響を受けます。
回避策
New Relicでは、この脆弱性に対する回避策は確認されていません。
セキュリティの脆弱性をNew Relicに報告 [#report]
ニューレリックは、お客様とそのデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見したと思われる場合は、New Relic の協調的な情報開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 Reporting security vulnerabilities をご覧ください。
さらにヘルプが必要
その他のドキュメントリソースは以下の通りです。