• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

セキュリティ速報

この文書には、New Relic の製品やサービスの一部のバージョンに影響を与える可能性のあるセキュリティ脆弱性に関する重要な情報が含まれています。セキュリティ速報は、セキュリティ上の脆弱性、改善策、影響を受けるソフトウェアの適用可能なアップデートについてお知らせするためのものです。詳細については、 セキュリティ、データプライバシー、コンプライアンスに関する文書 をご覧いただくか、 New Relic セキュリティウェブサイト をご覧ください。

セキュリティ関連の通知を受ける

Explorers Hubの Security notificationsコミュニティチャンネル で、 Watching オプションを選択すると、Eメールでのアラートを受け取ることができます。または、 RSSフィード を購読してください。

APM

当社の APM エージェントのセキュリティ速報には、 脆弱性評価.

セキュリティ速報

概要と関連するリリースノート

評価

NR21-03, Original Date 12/10/2021

JavaエージェントがApache log4jロギングフレームワークを使用していること、およびCVE-2021-44228とCVE-2021-45046に対処するための手順について説明します。このお知らせには、対策項目と関連するリリースノートへのリンクが含まれています。

致命的

NR21-02, 4/26/2021

JavaエージェントにはYAMLパーサーが実装されており、細工されたYAMLペイロードを解析すると限定的にコードが実行される可能性があります。

NR20-02, 8/20/2020

属性構成でrequest.uriが無効になっている場合、エージェントはトランザクション追跡から URI を削除しません。Node.js エージェントのリリース ノートを参照してください。

ミディアム

NR20-01, 1/16/2020

例外が発生すると、エージェントは完全な SQL クエリをキャプチャすることがあります。 .NETエージェントのリリースノート を参照してください。

ミディアム

NR19-05, 2019/8/26

パラメータ化されていないクエリで作成された不正なメトリック名には、機密情報が含まれている可能性があります。 .NETエージェントのリリースノート を参照してください。

ミディアム

NR19-03, 2019/4/22

Microsoft SQL Server でクエリの難読化に失敗することがありました。 .NETエージェント のリリースノートを参照してください。

ミディアム

NR19-02, 2019/4/1

セグメント属性には、高セキュリティモードや設定可能なセキュリティポリシーを使用している場合、リクエストパラメータが含まれることがあります。 Node.jsエージェントのリリースノート をご参照ください。

ミディアム

NR19-01, 2019/1/9

OpenRasta のインスツルメンテーションでは、クエリ文字列がキャプチャされることがあります。 .NETエージェントのリリースノート を参照してください。

ミディアム

NR18-09, 2018年5月2日

record_sqloffに設定されている場合、エージェントは機密データをキャプチャする場合があります。Java エージェントのリリース ノートを参照してください。

NR18-08, 2018/12/4

エージェントは、脆弱なhttps-proxy-agent Node.js モジュールを使用しています。Node.js エージェントのリリース ノートを参照してください。

NR18-07, 2018年3月7日

エージェントは、DB クエリの結果を New Relic に報告したり、SQL 文を再発行したりします。 Python, Java, .NET のエージェントのリリースノートをご覧ください。

NR18-06, 2018/3/5

エージェントは、すべてのトランザクション属性を取り込むことができます。 Node.js エージェントのリリースノート を参照してください。

NR18-04 、2018年1月22日

エラーメッセージは、高セキュリティモードでは削除されません。 .NETエージェントのリリースノート をご覧ください。

ミディアム

NR18-02 、2018年1月9日

エージェントは SQLite を使って SQL パラムを難読化することはできません。 Python エージェントのリリースノート を参照してください。

ミディアム

NR18-01 、2018年1月9日

エージェントは高セキュリティモードでカスタムAPIパラメータをキャプチャすることができます。 Pythonエージェントのリリースノート を参照してください。

ミディアム

NR17-06, 2017年12月18日

エージェントは、トランザクショントレース中に外部の HTTP リクエストパラメータをキャプチャします。 .NETエージェントのリリースノート を参照してください。

ミディアム

NR17-05, 2017/5/30

例外が発生すると、エージェントは完全な SQL クエリをキャプチャすることがあります。 Javaエージェントのリリースノート を参照してください。

NR17-04, 2017/5/5

エージェントは、 TransactionError中に WCF サービス リクエスト パラメータをキャプチャします。.NET エージェントのリリース ノートを参照してください。

ミディアム

NR17-03, 2017/2/9

MongoDB の集約クエリが難読化されていない。 Rubyエージェントのリリースノート を参照してください。

NR17-02, 2017年1月12日

クエリ パラメーターは、エラー トレースのreferer属性から削除されません。.NET エージェントのリリース ノートを参照してください。

ミディアム

NR17-01, 2017年1月12日

クエリ パラメーターは、エラー トレースのreferer属性から削除されません。Node.js エージェントのリリース ノートを参照してください。

ミディアム

インフラストラクチャのモニタリング

インフラ監視のセキュリティ速報 には、 脆弱性評価 が含まれています。

セキュリティ速報

概要と関連するリリースノート

評価

nr18-12, 11/28/18

Windowsエージェントは、非特権のハードリンクやジャンクションフォルダをたどることがあります。インフラストラクチャーの監視については、 エージェントのリリースノート を参照してください。

NR18-11, 10/8/18

Windows エージェントが、システムパス内の特権的なバイナリを実行する可能性があります。インフラストラクチャーの監視については、 エージェントのリリースノート を参照してください。

ミディアム

nr18-10, 6/18/18

ハードコードされたファイルパスにより、ユーザーが制御できる設定が可能です。インフラストラクチャーのモニタリングについては、 エージェントのリリースノート を参照してください。

NR18-05, 2018年2月8日

コマンドラインオプションがキャプチャされる場合があります。インフラストラクチャーのモニタリングについては、 エージェントのリリースノート を参照してください。

ブラウザのモニタリング

ブラウザ監視 のセキュリティ速報には、 脆弱性評価 が含まれています。

セキュリティ速報

概要と関連するリリースノート

評価

NR21-01, 3/9/2021

インスツルメンテーションされたHTMLページがオペレーティングシステムのファイルシステムから直接開かれる場合、エージェントはローカルファイルのURIを適切にサニタイズしません。

ミディアム

合成モニタリング

合成監視 のセキュリティ速報には、 脆弱性評価 が含まれています。

セキュリティ速報

概要と関連するリリースノート

評価

NR22-01, 1/13/2022

log4jバージョン1.2.17への副次的な依存を特に排除するためのCPM(Containerized Private Minion)手順

NR21-04, Original Date 12/13/2021

CVE-2021-44228 および CVE-2021-45046 に対処するためのコンテナ化されたプライベートミニオン (CPM) の手順です。このニュースには、アクションアイテムと関連するリリースノートへのリンクが含まれています。

致命的

NR19-04, 2019/7/22

機密データがログに表示されることがあります。 containerized private minions のリリースノートをご覧ください。

ミディアム

NR18-03 、2018年1月12日

Meltdown (CVE-2017-5754) 用にプライベートミニオンを更新しました。 containerized private minions のリリースノートを参照してください。

セキュリティの脆弱性評価

New Relicでは、セキュリティの脆弱性を4つのレベルで評価しています。

評価

説明

致命的

New Relic の製品やサービスに存在する脆弱性で、これを悪用するとお客様のデータの機密性や完全性が損なわれる可能性があります。

非典型的な情報や意図しない情報がNew Relicによって受信され、データの機密性や完全性が損なわれる可能性があります。

ミディアム

非典型的な情報や意図しない情報がNew Relicに受信される可能性がありますが、デフォルトの設定や標準的なセキュリティ対策により、漏洩のリスクは軽減されています。

非定型の情報や意図しない情報をNew Relicが受信することがありますが、その脆弱性を悪用することは困難であるか、影響は最小限であると考えられます。

セキュリティの脆弱性をNew Relicに報告

ニューレリックは、お客様とお客様のデータのセキュリティを重視しています。当社の製品、サービス、ウェブサイトのいずれかにセキュリティ上の脆弱性を発見された場合は、当社の協調的な情報開示プログラムに報告していただくことを歓迎し、大変感謝しています。詳細については、 HackerOneによるセキュリティ脆弱性の報告 に関するドキュメントをご覧ください。

Copyright © 2022 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.