• ログイン無料アカウント

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

セキュリティブルテンNR18-07

概要

Java、Python、および.NETエージェントのセキュリティアップデートでは、エージェントがDBクエリの結果をNew Relicに報告したり、SQLステートメントを再発行したりする問題が修正されています。

発売日: 2018年3月7日

脆弱性の識別子: NR18-07

優先度:

対象となるソフトウェア

以下のNew Relicエージェントのバージョンが影響を受けます。

名前

影響を受けるバージョン

メモ

リメディエーション版

Javaエージェント

3.26.1 から 3.47.0

SQLクエリ

3.47.1

Pythonエージェント

1.1.0.1922.106.0.87

SQLクエリ

2.106.1.88

.NETエージェント

2.5.112.0 から 6.21.0.0

7.0.2.07.1.229

MySQLでのSQLクエリ

8.0または6.22 (For .NET Framework 3.5)

脆弱性情報

New Relic のエージェントは、 Slow Transaction Traces と Slow SQL Queries に対して explain プランを実行します。以前のバージョンのエージェントでは、クエリの前に explain を付けることで、SQL クエリに対して explain プランを実行していました。これは、1つのクエリにセミコロンで区切られた複数のステートメントがある場合に問題が発生する可能性があります。文字列中の最初のステートメントは、その説明プランを返しますが、それ以降のステートメントは、一般的なSQLステートメントとして実行される可能性があります。言語やライブラリ、データベースによっては、エージェントが追加のステートメントの結果をNew Relicに返す場合があります。また、追加のステートメントによって、追加の INSERT または UPDATE コマンドが実行される可能性があります。このセキュリティアップデートにより、New Relic のエージェントは、ステートメントの区切りにセミコロンを含むクエリの説明プランを実行しなくなります。

緩和要因

  • 多くのSQLライブラリや言語フレームワークでは、 explain で複数のステートメントを実行する様々な形態を防止しています。
  • 新しいバージョンの.NETエージェントについては、説明の予定はありません。

回避策

エージェントの設定で、 explain plans with transaction tracer を無効にする。

セキュリティの脆弱性をNew Relicに報告

ニューレリックは、お客様とそのデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見したと思われる場合は、New Relic の協調的な情報開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 Reporting security vulnerabilities をご覧ください。

その他のヘルプ

その他のドキュメントリソースは以下の通りです。

Copyright © 2022 New Relic Inc.