Resumo
Uma atualização de segurança para o agente .NET corrige um problema em que uma consulta SQL completa pode ser enviada para o log do agente.
Release date: 16 de janeiro de 2020
Vulnerability identifier: NR20-01
Priority: Médio
Software afetado
As seguintes versões do agente New Relic são afetadas:
Nome | Versão afetada | Versão corrigida |
|---|---|---|
5.16.71.0 - 8.21.34.0 | 8.23.107.0 | |
5.16.71.0 - 8.21.34.0 | 6.25.0.0 |
Informações sobre vulnerabilidades
Para gerar planos explicativos, uma cópia da consulta SQL é criada e a consulta é reemitida com uma solicitação do plano de execução. Se o plano de explicação falhar, o agente poderá log a instrução SQL completa que pode incluir os valores dos parâmetros.
Fatores mitigantes
O agente log essas informações somente quando definido nos níveis de registro DEBUG ou FINEST.
Soluções alternativas
- Certifique-se de que o nível de registro não esteja configurado como
DEBUGouFINEST. - Desative a captura de planos explicativos.
- Certifique-se de que a localização do arquivo de log esteja segura.
- Atualize para o agente .NET New Relic mais recente.
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte nossa documentação sobre como relatar vulnerabilidades de segurança.