セキュリティ速報

NR23-01 — セキュリティ勧告

セキュリティ調査に関する勧告は2024年1月31日に終了しました

NRSG22-01

New Relic は、Microsoft Extensions Logging (MEL) を使用する構成で .NET Agent をデプロイするお客様には、バージョン 10.1.0 に更新することをお勧めします。またはそれ以降。

低

NR21-03, Original Date 12/10/2021

JavaエージェントがApache log4jロギングフレームワークを使用していること、およびCVE-2021-44228とCVE-2021-45046に対処するための手順について説明します。このお知らせには、対策項目と関連するリリースノートへのリンクが含まれています。

致命的

NR21-02, 4/26/2021

JavaエージェントにはYAMLパーサーが実装されており、細工されたYAMLペイロードを解析すると限定的にコードが実行される可能性があります。

低

NR20-02, 8/20/2020

属性構成でrequest.uriが無効になっている場合、エージェントはトランザクション追跡から URI を削除しません。Node.js エージェントのリリース ノートを参照してください。

ミディアム

NR20-01, 1/16/2020

例外が発生すると、エージェントは完全な SQL クエリをキャプチャすることがあります。 .NETエージェントのリリースノート を参照してください。

ミディアム

NR19-05, 2019/8/26

パラメータ化されていないクエリで作成された不正なメトリック名には、機密情報が含まれている可能性があります。 .NETエージェントのリリースノート を参照してください。

ミディアム

NR19-03, 2019/4/22

Microsoft SQL Server でクエリの難読化に失敗することがありました。 .NETエージェント のリリースノートを参照してください。

ミディアム

NR19-02, 2019/4/1

高セキュリティ モードまたは構成可能なセキュリティ ポリシーを使用する場合、セグメント属性にはリクエスト パラメータが含まれる場合があります。Node.js エージェントのリリース ノートを参照してください。

ミディアム

NR19-01, 2019/1/9

OpenRasta のインスツルメンテーションでは、クエリ文字列がキャプチャされることがあります。 .NETエージェントのリリースノート を参照してください。

ミディアム

NR18-09, 2018年5月2日

record_sqlがoffに設定されている場合、エージェントは機密データをキャプチャする場合があります。Java エージェントのリリース ノートを参照してください。

低

NR18-08, 2018/12/4

エージェントは、脆弱なhttps-proxy-agent Node.js モジュールを使用しています。Node.js エージェントのリリース ノートを参照してください。

低

NR18-07, 2018年3月7日

エージェントは、DB クエリの結果を New Relic に報告したり、SQL 文を再発行したりします。 Python, Java, .NET のエージェントのリリースノートをご覧ください。

高

NR18-06, 2018/3/5

エージェントは、すべてのトランザクション属性を取り込むことができます。 Node.js エージェントのリリースノート を参照してください。

高

NR18-04 、2018年1月22日

高セキュリティ モードでは、エラー メッセージは削除されません。.NET エージェントのリリース ノートを参照してください。

ミディアム

NR18-02 、2018年1月9日

エージェントは SQLite を使って SQL パラムを難読化することはできません。 Python エージェントのリリースノート を参照してください。

ミディアム

NR18-01 、2018年1月9日

エージェントは、高セキュリティ モードでカスタム API パラメータをキャプチャできます。Python エージェントのリリース ノートを参照してください。

ミディアム

NR17-06, 2017年12月18日

エージェントは、トランザクショントレース中に外部の HTTP リクエストパラメータをキャプチャします。 .NETエージェントのリリースノート を参照してください。

ミディアム

NR17-05, 2017/5/30

例外が発生すると、エージェントは完全な SQL クエリをキャプチャすることがあります。 Javaエージェントのリリースノート を参照してください。

高

NR17-04, 2017/5/5

エージェントは、 TransactionError中に WCF サービス リクエスト パラメータをキャプチャします。.NET エージェントのリリース ノートを参照してください。

ミディアム

NR17-03, 2017/2/9

MongoDB の集約クエリが難読化されていない。 Rubyエージェントのリリースノート を参照してください。

低

NR17-02, 2017年1月12日

クエリ パラメーターは、エラー トレースのreferer属性から削除されません。.NET エージェントのリリース ノートを参照してください。

ミディアム

NR17-01, 2017年1月12日

クエリ パラメーターは、エラー トレースのreferer属性から削除されません。Node.js エージェントのリリース ノートを参照してください。

ミディアム

nr18-12, 11/28/18

Windowsエージェントは、非特権のハードリンクやジャンクションフォルダをたどることがあります。インフラストラクチャーの監視については、 エージェントのリリースノート を参照してください。

低

NR18-11, 10/8/18

Windows エージェントが、システムパス内の特権的なバイナリを実行する可能性があります。インフラストラクチャーの監視については、 エージェントのリリースノート を参照してください。

ミディアム

nr18-10, 6/18/18

ハードコードされたファイルパスにより、ユーザーが制御できる設定が可能です。インフラストラクチャーのモニタリングについては、 エージェントのリリースノート を参照してください。

高

NR18-05, 2018年2月8日

コマンドラインオプションがキャプチャされる場合があります。インフラストラクチャーのモニタリングについては、 エージェントのリリースノート を参照してください。

高

NR21-01, 3/9/2021

インスツルメンテーションされたHTMLページがオペレーティングシステムのファイルシステムから直接開かれる場合、エージェントはローカルファイルのURIを適切にサニタイズしません。

ミディアム

NR22-01, 1/13/2022

log4jバージョン1.2.17への副次的な依存を特に排除するためのCPM（Containerized Private Minion）手順

高

NR21-04, Original Date 12/13/2021

CVE-2021-44228 および CVE-2021-45046 に対処するためのコンテナ化されたプライベートミニオン (CPM) の手順です。このニュースには、アクションアイテムと関連するリリースノートへのリンクが含まれています。

致命的

NR19-04, 2019/7/22

機密データがログに表示されることがあります。 containerized private minions のリリースノートをご覧ください。

ミディアム

NR18-03 、2018年1月12日

Meltdown (CVE-2017-5754) 用にプライベートミニオンを更新しました。 containerized private minions のリリースノートを参照してください。

高

致命的

New Relic の製品やサービスに存在する脆弱性で、これを悪用するとお客様のデータの機密性や完全性が損なわれる可能性があります。

高

非典型的な情報や意図しない情報がNew Relicによって受信され、データの機密性や完全性が損なわれる可能性があります。

ミディアム

非典型的な情報や意図しない情報がNew Relicに受信される可能性がありますが、デフォルトの設定や標準的なセキュリティ対策により、漏洩のリスクは軽減されています。

低

非定型の情報や意図しない情報をNew Relicが受信することがありますが、その脆弱性を悪用することは困難であるか、影響は最小限であると考えられます。