• 로그인지금 시작하기

사용자의 편의를 위해 제공되는 기계 번역입니다.

영문본과 번역본이 일치하지 않는 경우 영문본이 우선합니다. 보다 자세한 내용은 이 페이지를 방문하시기 바랍니다.

문제 신고

보안 게시판 NR18-07

요약

Java, Python 및 .NET 에이전트용 보안 업데이트는 에이전트가 DB 쿼리 결과를 New Relic에 보고하거나 SQL 문을 재발행할 수 있는 문제를 수정합니다.

출시일: 2018년 3월 7일

취약점 식별자: NR18-07

우선 순위: 높음

영향을 받는 소프트웨어

영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.

이름

영향을 받는 버전

Notes

수정된 버전

자바 에이전트

3.26.1 - 3.47.0

SQL 쿼리

3.47.1

파이썬 에이전트

1.1.0.192 - 2.106.0.87

SQL 쿼리

2.106.1.88

.NET 에이전트

2.5.112.0 - 6.21.0.0

7.0.2.0 - 7.1.229

MySQL을 사용한 SQL 쿼리

8.0 또는 6.22(.NET Framework 3.5용)

취약점 정보

New Relic 에이전트는 느린 트랜잭션 추적 및 느린 SQL 쿼리에 대한 계획 설명을 실행합니다. 이전 버전의 에이전트는 쿼리 앞에 explain 을 추가하여 SQL 쿼리에 대한 계획 설명을 실행했습니다. 단일 쿼리에서 세미콜론으로 구분된 여러 문이 있는 경우 문제가 발생할 수 있습니다. 문자열의 첫 번째 문은 설명 계획을 반환하지만 그 이후의 모든 문은 일반 SQL 문으로 실행할 수 있습니다. 언어, 라이브러리 및 데이터베이스에 따라 에이전트는 추가 명령문의 결과를 New Relic에 반환할 수 있습니다. 추가 명령문이 추가 INSERT 또는 UPDATE 명령을 실행할 수도 있습니다. 이 보안 업데이트를 통해 New Relic 에이전트는 명령문 구분 기호로 세미콜론이 포함된 쿼리에 대해 계획 설명을 더 이상 실행하지 않습니다.

완화 요인

  • 많은 SQL 라이브러리 및 언어 프레임워크는 explain 을 사용하여 여러 문을 실행하는 다양한 형식을 방지합니다.
  • 최신 버전의 .NET 에이전트에 대한 계획 설명이 꺼져 있습니다.

해결 방법

에이전트 구성에서 트랜잭션 추적기로 explain 계획을 비활성화합니다.

New Relic에 보안 취약점 보고

New Relic은 고객과 고객 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 를 참조하십시오.

더 많은 도움을 받으려면

추가 문서 리소스는 다음과 같습니다.

Copyright © 2022 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.