• /
  • EnglishEspañolFrançais日本語한국어Português
  • Se connecterDémarrer

Cette traduction automatique est fournie pour votre commodité.

En cas d'incohérence entre la version anglaise et la version traduite, la version anglaise prévaudra. Veuillez visiter cette page pour plus d'informations.

Créer un problème

Bulletin de sécurité NR18-07

Résumé

Une mise à jour de sécurité pour les agents Java, Python et .NET corrige un problème où l'agent peut signaler les résultats de la requête de base de données à New Relic ou réémettre une instruction SQL.

Release date: 7 mars 2018

Vulnerability identifier: NR18-07

Priority: Haut

Logiciels concernés

Les versions d'agent New Relic suivantes sont concernées :

Name

Affected version

Notes

Remediated version

Agent Java

3.26.1 à 3.47.0

Requête SQL

3.47.1

Agent Python

1.1.0.192 à 2.106.0.87

Requête SQL

2.106.1.88

Agent .NET

2.5.112.0 à 6.21.0.0

7.0.2.0 à 7.1.229

Requête SQL avec MySQL

8.0 ou 6.22 (pour .NET Framework 3.5)

informations sur les vulnérabilités

Les agents New Relic exécutent des plans explicatifs pour le tracing lent des transactions et les requêtes SQL lentes. Les versions précédentes des agents exécutaient un plan d'explication sur la requête SQL en préfixant la requête avec explain. Cela peut entraîner un problème lorsqu'il existe plusieurs instructions séparées par des points-virgules dans une seule requête. La première instruction de la chaîne renvoie son plan d'explication, mais toute instruction ultérieure peut s'exécuter comme une instruction SQL générale. Selon la langue, la bibliothèque et la base de données, l'agent peut renvoyer les résultats des instructions supplémentaires à New Relic. Il est également possible que les instructions supplémentaires exécutent une commande INSERT ou UPDATE supplémentaire. Avec cette mise à jour de sécurité, les agents New Relic n'exécuteront plus de plans explicatifs sur toute requête contenant un point-virgule comme séparateur d'instructions.

Facteurs atténuants

  • De nombreuses bibliothèques SQL et frameworks de langage empêchent diverses formes d'exécution de plusieurs instructions avec explain.
  • Expliquez que les plans sont désactivés pour les versions plus récentes de l'agent .NET.

Solutions de contournement

Désactiver les plans explain avec le traceur de transaction dans la configuration de l'agent :

Signaler les vulnérabilités de sécurité à New Relic

New Relic s'engage à assurer la sécurité de ses clients et de leurs données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez Signalement des vulnérabilités de sécurité.

Pour plus d'aide

Les ressources de documentation supplémentaires incluent :.

Droits d'auteur © 2025 New Relic Inc.
RecrutementConditions de servicePolitique DMCAAvis de confidentialitéCookiesLoi britannique sur l'esclavage

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.