Resumo
Uma atualização de segurança para o agente Python para melhorar a ofuscação de SQL com SQLite.
Release date: 9 de janeiro de 2018
Vulnerability identifier: NR18-02
Priority: Médio
Software afetado
As seguintes versões do agente New Relic são afetadas:
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agente Python | Ofuscação SQLite |
Informações sobre vulnerabilidades
O agente New Relic Python deve ofuscar o parâmetro de consulta SQL. Isso corrige um problema no rastreamento de transação do SQLite. Se o parâmetro consulta fosse passado com strings entre aspas duplas, o agente não estava ofuscando adequadamente esses parâmetros.
Fatores mitigantes
- Geralmente, todas as strings de parâmetros de consulta SQL devem ser literais de string e passadas entre aspas simples. No entanto, a API Python SQLite permite que os desenvolvedores usem strings entre aspas duplas em alguns casos.
Soluções alternativas
Se não for possível atualizar o agente, você poderá executar as ações a seguir para garantir que não enviará nenhum parâmetro de consulta SQLite.
- Use literais de string de aspas simples com SQLite.
- Desabilite a coleta SQL configurando transaction_tracer.record_sql para
off.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.
Para obter mais ajuda
Recursos de documentação adicionais incluem:.