요약
Java, Python 및 .NET 에이전트용 보안 업데이트는 에이전트가 DB 쿼리 결과를 New Relic에 보고하거나 SQL 문을 재발행할 수 있는 문제를 수정합니다.
출시일: 2018년 3월 7일
취약점 식별자: NR18-07
우선 순위: 높음
영향을 받는 소프트웨어
영향을 받는 New Relic 에이전트 버전은 다음과 같습니다.
이름 | 영향을 받는 버전 | Notes | 수정된 버전 |
|---|---|---|---|
자바 에이전트 | SQL 쿼리 | ||
파이썬 에이전트 | SQL 쿼리 | ||
.NET 에이전트 | MySQL을 사용한 SQL 쿼리 |
취약점 정보
New Relic 에이전트는 느린 트랜잭션 추적 및 느린 SQL 쿼리에 대한 계획 설명을 실행합니다. 이전 버전의 에이전트는 쿼리 앞에 explain 을 추가하여 SQL 쿼리에 대한 계획 설명을 실행했습니다. 단일 쿼리에서 세미콜론으로 구분된 여러 문이 있는 경우 문제가 발생할 수 있습니다. 문자열의 첫 번째 문은 설명 계획을 반환하지만 그 이후의 모든 문은 일반 SQL 문으로 실행할 수 있습니다. 언어, 라이브러리 및 데이터베이스에 따라 에이전트는 추가 명령문의 결과를 New Relic에 반환할 수 있습니다. 추가 명령문이 추가 INSERT 또는 UPDATE 명령을 실행할 수도 있습니다. 이 보안 업데이트를 통해 New Relic 에이전트는 명령문 구분 기호로 세미콜론이 포함된 쿼리에 대해 계획 설명을 더 이상 실행하지 않습니다.
완화 요인
- 많은 SQL 라이브러리 및 언어 프레임워크는
explain을 사용하여 여러 문을 실행하는 다양한 형식을 방지합니다. - 최신 버전의 .NET 에이전트에 대한 계획 설명이 꺼져 있습니다.
해결 방법
에이전트 구성에서 트랜잭션 추적기로 explain 계획을 비활성화합니다.
- 자바의 경우
transaction_tracer - .NET용
transactiontracer - Python의 경우
transaction_tracer
New Relic에 보안 취약점 보고
New Relic은 고객과 고객 데이터의 보안을 위해 최선을 다하고 있습니다. 당사 제품이나 웹사이트 중 하나에서 보안 취약점을 발견했다고 생각되시면 New Relic의 통합 공개 프로그램에 신고해 주셔서 감사합니다. 자세한 내용은 보안 취약점 보고 를 참조하십시오.
더 많은 도움을 받으려면
추가 문서 리소스는 다음과 같습니다.