• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

セキュリティブルテンNR18-07

概要

Java、Python、および.NETエージェントのセキュリティアップデートでは、エージェントがDBクエリの結果をNew Relicに報告したり、SQLステートメントを再発行したりする問題が修正されています。

発売日: 2018年3月7日

脆弱性の識別子: NR18-07

優先度:

対象となるソフトウェア

以下のNew Relicエージェントのバージョンが影響を受けます。

名前

影響を受けるバージョン

メモ

リメディエーション版

Javaエージェント

3.26.1 から 3.47.0

SQLクエリ

3.47.1

Pythonエージェント

1.1.0.1922.106.0.87

SQLクエリ

2.106.1.88

.NETエージェント

2.5.112.0 から 6.21.0.0

7.0.2.07.1.229

MySQLでのSQLクエリ

8.0または6.22 (For .NET Framework 3.5)

脆弱性情報

New Relic エージェントは、 Slow Transaction Tracesと Slow SQL Queries の Explain Plan を実行します。エージェントの以前のバージョンでは、クエリの前にexplainを追加することで、SQL クエリに対して Explain Plan を実行していました。これは、1 つのクエリにセミコロンで区切られた複数のステートメントがある場合に問題を引き起こす可能性があります。文字列の最初のステートメントはその実行計画を返しますが、その後のステートメントは一般的な SQL ステートメントとして実行される可能性があります。言語、ライブラリ、およびデータベースによっては、エージェントが追加ステートメントの結果を New Relic に返す場合があります。追加のステートメントが追加のINSERTまたはUPDATEコマンドを実行する可能性もあります。今回のセキュリティ更新により、New Relic エージェントは、ステートメント区切りとしてセミコロンを含むクエリに対して Explain Plan を実行しなくなります。

緩和要因

  • 多くの SQL ライブラリと言語フレームワークでは、さまざまな形式でexplainを使用して複数のステートメントを実行できません。
  • 新しいバージョンの.NETエージェントについては、説明の予定はありません。

回避策

エージェント構成でトランザクション トレーサを使用してexplainプランを無効にします:

セキュリティの脆弱性をNew Relicに報告

ニューレリックは、お客様とそのデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見したと思われる場合は、New Relic の協調的な情報開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 Reporting security vulnerabilities をご覧ください。

さらにヘルプが必要

その他のドキュメントリソースは以下の通りです。

Copyright © 2022 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.