Resumo
Uma atualização de segurança para o agente .NET corrige um problema onde nomes de métricas não são devidamente identificados para consulta SQL com parâmetros que foram construídos manualmente.
Release date: 26 de agosto de 2019
Vulnerability identifier: NR19-05
Priority: Médio
Software afetado
As seguintes versões do agente New Relic são afetadas:
Nome | Versão afetada | Notas | Versão corrigida |
|---|---|---|---|
Agente .NET | <8.18.241.0 | 8.18.241.0 | |
Agente .NET | <6.24.0.0 | 6.24.0.0 |
Informações sobre vulnerabilidades
Ao construir manualmente consultas SQL que executam procedimentos armazenados com parâmetro, a falta de espaço antes do primeiro valor pode fazer com que o agente identifique incorretamente o nome da métrica. Isso pode resultar na inclusão de dados confidenciais em nomes de métricas.
Fatores mitigantes
Esta vulnerabilidade afeta apenas aplicativos que montam consulta SQL manualmente com parâmetro, sem utilizar consulta parametrizada. É recomendado que o aplicativo utilize consulta parametrizada para ajudar a evitar a introdução de vulnerabilidades de injeção SQL.
Soluções alternativas
- Utilize consulta parametrizada, isso também ajuda a evitar vulnerabilidades de injeção SQL.
- Atualize para o agente .NET New Relic mais recente.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte Relatando vulnerabilidades de segurança.