Résumé
Une mise à jour de sécurité pour l'agent Python afin d'améliorer l'obfuscation SQL avec SQLite.
Release date: 9 janvier 2018
Vulnerability identifier: NR18-02
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Name | Affected version | Notes | Remediated version |
|---|---|---|---|
Agent Python | Obfuscation de SQLite |
informations sur les vulnérabilités
L'agent Python New Relic doit obscurcir les paramètres de requête SQL. Cela corrige un problème dans le tracing des transactions SQLite. Si les paramètres de requête étaient transmis avec des chaînes entre guillemets doubles, l'agent ne masquait pas correctement ces paramètres.
Facteurs atténuants
- En règle générale, toutes les chaînes de paramètres de requête SQL doivent être des littéraux de chaîne et transmises entre guillemets simples. Cependant, l'API Python SQLite permet aux développeurs d'utiliser des chaînes entre guillemets doubles dans certains cas.
Solutions de contournement
Si vous ne parvenez pas à mettre à niveau l’agent, vous pourrez peut-être effectuer les actions suivantes pour vous assurer de ne pas envoyer de paramètres de requête SQLite.
- Utilisez des littéraux de chaîne entre guillemets simples avec SQLite.
- Désactivez la collecte SQL en configurant transaction_tracer.record_sql sur
off.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.
Pour plus d'aide
Les ressources de documentation supplémentaires incluent :.