• /
  • EnglishEspañol日本語한국어Português
  • EntrarComeçar agora

Esta tradução de máquina é fornecida para sua comodidade.

Caso haja alguma divergência entre a versão em inglês e a traduzida, a versão em inglês prevalece. Acesse esta página para mais informações.

Criar um problema

Boletim de Segurança NR18-07

Resumo

Uma atualização de segurança para o agente Java, Python e .NET corrige um problema em que o agente pode relatar resultados de consulta de banco de dados para New Relic ou reemitir uma instrução SQL.

Release date: 7 de março de 2018

Vulnerability identifier: NR18-07

Priority: Alto

Software afetado

As seguintes versões do agente New Relic são afetadas:

Name

Affected version

Notes

Remediated version

Agente Java

3.26.1 a 3.47.0

Consulta SQL

3.47.1

Agente Python

1.1.0.192 a 2.106.0.87

Consulta SQL

2.106.1.88

Agente .NET

2.5.112.0 a 6.21.0.0

7.0.2.0 a 7.1.229

Consulta SQL com MySQL

8.0 ou 6.22 (para .NET framework 3.5)

Informações sobre vulnerabilidades

Agente New Relic executado explica planos para rastreamento lento da transação e consulta Slow SQL. Versões anteriores do agente executariam um plano de explicação na consulta SQL acrescentando explain ao início da consulta. Isso pode causar um problema quando há diversas instruções separadas por ponto e vírgula em uma única consulta. A primeira instrução na string retorna seu plano de explicação, mas qualquer instrução subsequente pode ser executada como uma instrução SQL geral. Dependendo do idioma, da biblioteca e do banco de dados, o agente pode retornar os resultados das instruções adicionais para a New Relic. Também é possível que as instruções adicionais executem um comando INSERT ou UPDATE adicional. Com esta atualização de segurança, o agente New Relic não executará mais planos de explicação em qualquer consulta que contenha ponto e vírgula como separador de instruções.

Fatores mitigantes

  • Muitas bibliotecas SQL e estruturas de linguagem impedem várias formas de execução de múltiplas instruções com explain.
  • Os planos do Explique estão desativados para versões mais recentes do agente .NET.

Soluções alternativas

Desative explain planos com tracer de transação na configuração do agente:

Relate vulnerabilidades de segurança à New Relic

A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.

Para obter mais ajuda

Recursos de documentação adicionais incluem:.

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.