この文書には、New Relic の製品やサービスの一部のバージョンに影響を与える可能性のあるセキュリティ脆弱性に関する重要な情報が含まれています。セキュリティ速報は、セキュリティ上の脆弱性、改善策、影響を受けるソフトウェアの適用可能なアップデートについてお知らせするためのものです。詳細については、 セキュリティ、データプライバシー、コンプライアンスに関する文書 をご覧いただくか、 New Relic セキュリティウェブサイト をご覧ください。
セキュリティ関連の通知を受ける
新しい速報に関する通知を受け取るには、購読してください。 RSS フィード。
一般
これらの情報は、複数の New Relic 機能に適用されます。
セキュリティ速報 | 概要 |
|---|---|
セキュリティ調査に関する勧告は2024年1月31日に終了しました |
APM
当社の APM エージェントのセキュリティ速報には、 脆弱性評価.
セキュリティ速報 | 概要と関連するリリースノート | 評価 |
|---|---|---|
New Relic は、Microsoft Extensions Logging (MEL) を使用する構成で .NET Agent をデプロイするお客様には、バージョン 10.1.0 に更新することをお勧めします。またはそれ以降。 | 低 | |
NR21-03, Original Date 12/10/2021 | JavaエージェントがApache log4jロギングフレームワークを使用していること、およびCVE-2021-44228とCVE-2021-45046に対処するための手順について説明します。このお知らせには、対策項目と関連するリリースノートへのリンクが含まれています。 | 致命的 |
NR21-02, 4/26/2021 | JavaエージェントにはYAMLパーサーが実装されており、細工されたYAMLペイロードを解析すると限定的にコードが実行される可能性があります。 | 低 |
NR20-02, 8/20/2020 | 属性構成で | ミディアム |
NR20-01, 1/16/2020 | 例外が発生すると、エージェントは完全な SQL クエリをキャプチャすることがあります。 .NETエージェントのリリースノート を参照してください。 | ミディアム |
NR19-05, 2019/8/26 | パラメータ化されていないクエリで作成された不正なメトリック名には、機密情報が含まれている可能性があります。 .NETエージェントのリリースノート を参照してください。 | ミディアム |
NR19-03, 2019/4/22 | Microsoft SQL Server でクエリの難読化に失敗することがありました。 .NETエージェント のリリースノートを参照してください。 | ミディアム |
NR19-02, 2019/4/1 | 高セキュリティ モードまたは構成可能なセキュリティ ポリシーを使用する場合、セグメント属性にはリクエスト パラメータが含まれる場合があります。Node.js エージェントのリリース ノートを参照してください。 | ミディアム |
NR19-01, 2019/1/9 | OpenRasta のインスツルメンテーションでは、クエリ文字列がキャプチャされることがあります。 .NETエージェントのリリースノート を参照してください。 | ミディアム |
NR18-09, 2018年5月2日 |
| 低 |
NR18-08, 2018/12/4 | エージェントは、脆弱な | 低 |
NR18-07, 2018年3月7日 | エージェントは、DB クエリの結果を New Relic に報告したり、SQL 文を再発行したりします。 Python, Java, .NET のエージェントのリリースノートをご覧ください。 | 高 |
NR18-06, 2018/3/5 | エージェントは、すべてのトランザクション属性を取り込むことができます。 Node.js エージェントのリリースノート を参照してください。 | 高 |
NR18-04 、2018年1月22日 | 高セキュリティ モードでは、エラー メッセージは削除されません。.NET エージェントのリリース ノートを参照してください。 | ミディアム |
NR18-02 、2018年1月9日 | エージェントは SQLite を使って SQL パラムを難読化することはできません。 Python エージェントのリリースノート を参照してください。 | ミディアム |
NR18-01 、2018年1月9日 | エージェントは、高セキュリティ モードでカスタム API パラメータをキャプチャできます。Python エージェントのリリース ノートを参照してください。 | ミディアム |
NR17-06, 2017年12月18日 | エージェントは、トランザクショントレース中に外部の HTTP リクエストパラメータをキャプチャします。 .NETエージェントのリリースノート を参照してください。 | ミディアム |
NR17-05, 2017/5/30 | 例外が発生すると、エージェントは完全な SQL クエリをキャプチャすることがあります。 Javaエージェントのリリースノート を参照してください。 | 高 |
NR17-04, 2017/5/5 | エージェントは、 | ミディアム |
NR17-03, 2017/2/9 | MongoDB の集約クエリが難読化されていない。 Rubyエージェントのリリースノート を参照してください。 | 低 |
NR17-02, 2017年1月12日 | クエリ パラメーターは、エラー トレースの | ミディアム |
NR17-01, 2017年1月12日 | クエリ パラメーターは、エラー トレースの | ミディアム |
インフラストラクチャのモニタリング
インフラ監視のセキュリティ速報 には、 脆弱性評価 が含まれています。
セキュリティ速報 | 概要と関連するリリースノート | 評価 |
|---|---|---|
NR24-01、6 /8/24 | New Relic は、最近発表されたFluent Bit の脆弱なバージョンの使用を排除するために、いくつかのログ転送サービスの新しいバージョンをリリースしました。 | 高 |
nr18-12, 11/28/18 | Windowsエージェントは、非特権のハードリンクやジャンクションフォルダをたどることがあります。インフラストラクチャーの監視については、 エージェントのリリースノート を参照してください。 | 低 |
NR18-11, 10/8/18 | Windows エージェントが、システムパス内の特権的なバイナリを実行する可能性があります。インフラストラクチャーの監視については、 エージェントのリリースノート を参照してください。 | ミディアム |
nr18-10, 6/18/18 | ハードコードされたファイルパスにより、ユーザーが制御できる設定が可能です。インフラストラクチャーのモニタリングについては、 エージェントのリリースノート を参照してください。 | 高 |
NR18-05, 2018年2月8日 | コマンドラインオプションがキャプチャされる場合があります。インフラストラクチャーのモニタリングについては、 エージェントのリリースノート を参照してください。 | 高 |
ブラウザのモニタリング
のセキュリティ情報には、脆弱性評価が含まれています。
セキュリティ速報 | 概要と関連するリリースノート | 評価 |
|---|---|---|
NR21-01, 3/9/2021 | インスツルメンテーションされたHTMLページがオペレーティングシステムのファイルシステムから直接開かれる場合、エージェントはローカルファイルのURIを適切にサニタイズしません。 | ミディアム |
合成モニタリング
合成監視 のセキュリティ速報には、 脆弱性評価 が含まれています。
セキュリティ速報 | 概要と関連するリリースノート | 評価 |
|---|---|---|
NR22-01, 1/13/2022 | log4jバージョン1.2.17への副次的な依存を特に排除するためのCPM(Containerized Private Minion)手順 | 高 |
NR21-04, Original Date 12/13/2021 | CVE-2021-44228 および CVE-2021-45046 に対処するためのコンテナ化されたプライベートミニオン (CPM) の手順です。このニュースには、アクションアイテムと関連するリリースノートへのリンクが含まれています。 | 致命的 |
NR19-04, 2019/7/22 | 機密データがログに表示されることがあります。 containerized private minions のリリースノートをご覧ください。 | ミディアム |
NR18-03 、2018年1月12日 | Meltdown (CVE-2017-5754) 用にプライベートミニオンを更新しました。 containerized private minions のリリースノートを参照してください。 | 高 |
その他
この一般カテゴリのセキュリティ情報には、脆弱性の評価が含まれます。
セキュリティ速報 | 概要と関連するリリースノート | 評価 |
|---|---|---|
NR24-02 、2024年7月18日 | New Relic Salesforce Exporter に影響する OpenSSH の脆弱性に対処する手順。 | 高 |
セキュリティの脆弱性評価
New Relicでは、セキュリティの脆弱性を4つのレベルで評価しています。
評価 | 説明 |
|---|---|
致命的 | New Relic の製品やサービスに存在する脆弱性で、これを悪用するとお客様のデータの機密性や完全性が損なわれる可能性があります。 |
高 | 非典型的な情報や意図しない情報がNew Relicによって受信され、データの機密性や完全性が損なわれる可能性があります。 |
ミディアム | 非典型的な情報や意図しない情報がNew Relicに受信される可能性がありますが、デフォルトの設定や標準的なセキュリティ対策により、漏洩のリスクは軽減されています。 |
低 | 非定型の情報や意図しない情報をNew Relicが受信することがありますが、その脆弱性を悪用することは困難であるか、影響は最小限であると考えられます。 |
セキュリティの脆弱性をNew Relicに報告
New Relic は、顧客とデータのセキュリティに取り組んでいます。 当社の製品、サービス、または Web サイトのいずれかでセキュリティの脆弱性を発見したと思われる場合は、当社の協調的開示プログラムに報告していただければ幸いです。 詳細については、セキュリティ脆弱性の報告に関するドキュメントを参照してください。