Résumé
Une mise à jour de sécurité pour l'agent .NET corrige un problème où une requête SQL complète peut être envoyée au log de l'agent.
Release date: 16 janvier 2020
Vulnerability identifier: NR20-01
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Nom | Version concernée | Version corrigée |
|---|---|---|
5.16.71.0 - 8.21.34.0 | 8.23.107.0 | |
5.16.71.0 - 8.21.34.0 | 6.25.0.0 |
informations sur les vulnérabilités
Afin de générer des plans d'exécution, une copie de la requête SQL est créée et la requête est réémise avec une demande de plan d'exécution. Si le plan d'explication échoue, l'agent peut log l'instruction SQL complète qui pourrait inclure les valeurs des paramètres.
Facteurs atténuants
L'agent log ces informations uniquement s'il est défini sur les niveaux du logging DEBUG ou FINEST.
Solutions de contournement
- Assurez-vous que le niveau du logging n'est pas défini sur
DEBUGouFINEST. - Désactiver la capture des plans explicatifs.
- Assurez-vous que l'emplacement du fichier de log est sécurisé.
- Mise à jour vers le dernier agent .NET New Relic.
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de vos données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez notre documentation sur le signalement des vulnérabilités de sécurité.