概要
.NETエージェントのセキュリティアップデートでは、完全なSQLクエリがエージェントログに送信される可能性があるという問題が修正されます。
Release date: 2020年1月16日
Vulnerability identifier: NR20-01
Priority: ミディアム
対象となるソフトウェア
以下のNew Relicエージェントのバージョンが影響を受けます。
名前 | 影響を受けるバージョン | リメディエーション版 |
|---|---|---|
5.16.71.0 - 8.21.34.0 | 8.23.107.0 | |
5.16.71.0 - 8.21.34.0 | 6.25.0.0 |
脆弱性情報
説明プランを生成するために、SQL クエリのコピーが作成され、実行プランを要求してクエリが再発行されます。説明プランが失敗した場合、エージェントはパラメータ値を含む完全なSQL文を記録することができます。
緩和要因
エージェントは、 DEBUGまたはFINESTログ レベルに設定されている場合にのみ、この情報をログに記録します。
回避策
- ロギング レベルが
DEBUGまたはFINESTに設定されていないことを確認してください。 - 説明文のキャプチャを無効にします。
- ログファイルのファイルロケーションが確保されていること。
- 最新のNew Relic .NETエージェントに更新します。
セキュリティの脆弱性をNew Relicに報告
ニューレリックは、お客様とお客様のデータのセキュリティを重視しています。私たちの製品やウェブサイトにセキュリティ上の脆弱性を発見された場合、New Relic の協調的開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 セキュリティ脆弱性の報告に関するドキュメント をご覧ください。