概要
.NETエージェントのセキュリティアップデートでは、Microsoft SQL Serverのインスツルメンテーションを行う際に、特定の文字の組み合わせによってクエリの難読化が妨げられる問題が修正されています。
発売日: 2019年4月22日
脆弱性の識別子: NR19-03
Priority: Medium
対象となるソフトウェア
以下のNew Relicエージェントのバージョンが影響を受けます。
名前 | 影響を受けるバージョン | メモ | リメディエーション版 |
|---|---|---|---|
.NETエージェント | < 8.15.455.0 | 8.15.455.0 | |
.NETエージェント | < 6.23.0.0 | 6.23.0.0 |
脆弱性情報
SQLクエリを難読化するように設定すると、.NETエージェントはすべてのクエリを難読化関数に通します。Microsoft SQL Serverがクエリをサニタイズする方法のため、この難読化が失敗する原因となる特定の文字の組み合わせが生成される場合があります。
緩和要因
この脆弱性は、Microsoft SQL Serverをインスツルメンテーションし、クエリの難読化を有効にした場合にのみ存在します。
回避策
- データベースインスツルメンテーションを無効にする。
- 最新のNew Relic .NETエージェントに更新します。
セキュリティの脆弱性をNew Relicに報告
ニューレリックは、お客様とそのデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見したと思われる場合は、New Relic の協調的な情報開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 Reporting security vulnerabilities をご覧ください。