요약
.NET 에이전트용 보안 업데이트는 수동으로 구성된 매개변수가 있는 SQL 쿼리에 대해 메트릭 이름이 제대로 식별되지 않는 문제를 수정합니다.
출시일: 2019년 8월 26일
취약점 식별자: NR19-05
우선순위: 중간
영향을 받는 소프트웨어
영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.
이름 | 영향을 받는 버전 | Notes | 수정된 버전 |
|---|---|---|---|
.NET 에이전트 | < 8.18.241.0 | 8.18.241.0 | |
.NET 에이전트 | < 6.24.0.0 | 6.24.0.0 |
취약점 정보
매개변수를 사용하여 저장 프로시저를 실행하는 SQL 쿼리를 수동으로 구성할 때 첫 번째 값 앞에 공백이 없으면 에이전트가 메트릭 이름을 잘못 식별할 수 있습니다. 이로 인해 측정항목 이름에 민감한 데이터가 포함될 수 있습니다.
완화 요인
이 취약점은 매개변수화된 쿼리를 사용하지 않고 매개변수로 SQL 쿼리를 수동으로 조합하는 애플리케이션에만 영향을 미칩니다. 애플리케이션은 SQL 주입 취약점 도입을 피하기 위해 매개변수화된 쿼리를 사용하는 것이 좋습니다.
해결 방법
- 매개변수화된 쿼리를 활용하면 SQL 주입 취약점 을 방지하는 데도 도움이 됩니다.
- 최신 New Relic .NET 에이전트로 업데이트하십시오.
New Relic에 보안 취약점 보고
New Relic은 고객과 고객 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 를 참조하십시오.