Skip to main content

.NET Coreエージェント のリリース情報

リリース日:2024年3月7日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • Assessが無効な場合に、EndRequestフックでNullReferenceExceptionがスローされないようにしました。(DOTNET-5555)

リリース日:2024年3月5日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • 同じマシン上で、手動構成のインストールと、インストーラベースのインストールが検出された場合のログを追加しました。(DOTNET-5174)

修正された不具合:

  • パストラバーサルのファイルセキュリティの回避ルールに修正を加えました。(DOTNET-5520)

リリース日:2024年1月30日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • パフォーマンスメトリックが無効になっている場合にはKeyNotFoundExceptionが発生しないようにしました。(DOTNET-5507)

リリース日:2024年1月29日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • 重要性が低いWebOptimizerメソッドを解析しないようにすることで、パフォーマンスを改善しました。 (DOTNET-5443)

  • 重要性が低いNopCommerceハッシュメソッドを解析しないようにすることで、パフォーマンスを改善しました。(DOTNET-5425)

修正された不具合:

  • エージェントインストーラが、TLSの問題によりテレメトリにエラーを送信できない場合、エラーをログに記録しないようにしました。 (DOTNET-5465)

  • .NET 6および.NET 7での特定のシナリオで機能していなかったGraphQLのルート検出の問題を修正しました。(DOTNET-5451)

  • Swagger UIエンドポイントの未検証のリダイレクトは安全でないと見なされないため、脆弱性として報告されないようにしました。(DOTNET-5449)

リリース日:2024年1月9日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • コピーライトの年度を2024に更新しました。(DOTNET-5408)

  • プリミティブ型のHalfInt128UInt128の構文解析を実装しました。(DOTNET-5439)

  • XmlReader Get/Readメソッドのトレース時のパフォーマンスを改善しました。(DOTNET-3866)

  • TimeOnlyパースメソッドのトレース時のパフォーマンスを改善しました。 (DOTNET-3850)

  • エージェントは、multipart/form-dataのリクエストボディでバッファリングを有効にしなくなりました。(DOTNET-5400)

修正された不具合:

  • GUIDを使用したEntity FrameworkクエリにおけるSQLインジェクションの過検知を修正しました。(DOTNET-5403)

アーカイブ

リリース日: 2023年12月14日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エスケープされたSQL値に対するSQLインジェクションの誤検知に対応するために、ProtectのAgentLibを更新しました。(DOTNET-5406)

リリース日: 2023年12月5日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

注記

.NET Core 4.1.5は、リリースされませんでした。

新機能と改善点:

  • エージェントインストーラのブートストラッパで、ログ出力とNULL参照処理を拡張しました。(DOTNET-5397)

  • ThreadStaticシグネチャのパフォーマンスをさらに改善しました。 (DOTNET-3883、DOTNET-5380)

修正された不具合:

  • エージェントインストーラは、.NET Framework 4.6.2がインストールされていてもキャッシュされていない場合の要件を処理するようになりました。(DOTNET-5396)

  • エージェントエクスプローラで、移動または削除されたIIS Expressアプリケーションが正しく表示されるようになりました。(DOTNET-5390)

リリース日: 2023年11月17日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

注記

.NET Core 4.1.5は、リリースされませんでした。

新機能と改善点:

  • .NET 8.0のサポートを追加しました。

  • インターン化された文字列に対するパフォーマンスを改善しました。(DOTNET-3597)

  • ThreadStaticメソッドのパフォーマンスを改善しました。(DOTNET-3848、DOTNET-3849)

  • 必要に応じてIISを再起動するチェックボックスがオフにされている場合の警告を.NET Coreインストーラに追加しました。(DOTNET-5306)

  • パストラバーサル(Assess)のシンクとしてMicrosoftのシグネチャを追加しました。(DOTNET-5314)

  • プロファイラがアプリケーションへの接続に失敗した場合のログメッセージをクリーンアップしました。(DOTNET-5335)

  • メッセージのログ出力時のメモリ使用量を削減しました。(DOTNET-5336)

  • 不足していたString.Joinメソッドのシグネチャを追加しました。(DOTNET-5378)

リリース日: 2023年10月10日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

注記

.NET Core 4.1.5は、リリースされませんでした。

新機能と改善点:

  • LDAP APIを実装する際のパフォーマンスを向上させました。(DOTNET-3844)

  • EscapeForJsを実装する際のパフォーマンスを向上させました。(DOTNET-3845)

  • 列挙型解析を実装する際のパフォーマンスを向上させました。(DOTNET-3846)

  • 組み込み型の文字列解析を実装する際のパフォーマンスを向上させました。(DOTNET-3847)

  • XmlReaderを実装する際のパフォーマンスを向上させました。(DOTNET-3867)

修正された不具合:

  • MVCルート検出の実行中に例外がスローされた場合、エージェントからSentryにユーザデータが送信されないようにしました。(DOTNET-5299)

  • AnchorTagHelpers経由でデータをトレースする際のパフォーマンスを改善しました。(DOTNET-5302)

リリース日: 2023年9月19日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • Contrast WebインターフェイスでProtectがオンになっている場合にセキュリティログが作成されない問題を修正しました。(DOTNET-5241)

  • セキュリティログに空のソースが含まれないようにしました。(DOTNET-5256)

  • プールされた配列が再利用される場合に、特定のケースで過検知とならないように修正しました。 (DOTNET-5234)

  • エージェントがgRPCのリクエストを検出した場合、ボディキャプチャを無効にするようにしました。(DOTNET-5000)

リリース日: 2023年9月5日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • ログファイルのパフォーマンスタイミングに、リクエストの開始と終了が含まれるようになりました。(DOTNET-5254)

  • AgentLibログ環境変数が、エージェントのIISネイティブモジュールで設定されるようになりました。(DOTNET-5068)

修正された不具合:

  • エージェントの有効な設定情報がContrastに送信される際にエラーが発生するバグを修正しました。(DOTNET-5242)

  • テレメトリサービスがWebサービスコンポーネントとして報告されないようにしました。(DOTNET-5232)

リリース日: 2023年8月28日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • URIの正規化を新しい標準に合わせることにより、重複排除(デデュープ)機能を改善しました。(DOTNET-5128)

  • ContrastのProtectでpath-traversal-semantic-file-security-bypassルールにコードとURLの除外を適用するようになりました。(DOTNET-5167)

  • エージェントで、より多くのSystem.Text.Jsonメソッドによる伝播を追跡するようになりました。(DOTNET-3874)

  • エージェントで、文字列のReadOnlySpan<T>への暗黙の変換による伝播を追跡するようになりました。 (DOTNET-5011)

  • 不足していたStringBuilderメソッドのシグネチャを追加しました。(DOTNET-5015)

  • check-processコマンドの実行時にCORECLR_PROFILER_PATHをチェックするようになりました。(DOTNET-5075)

リリース日: 2023年8月2日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エージェントは、有効な設定データをContrastサーバに送るようになりました。(DOTNET-5127)

  • ARM64 Alpineでエージェントが正しく接続できるようになりました。

リリース日: 2023年7月17日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エージェントは、ARM64アーキテクチャを実行しているUbuntuでのアプリケーションをサポートするようになりました。

  • Span<T>オブジェクトの処理時のパフォーマンスを向上させました。

  • ThreadStaticメソッドの処理時のパフォーマンスを向上させました。

修正された不具合:

  • URI送信時にWebサービスのプロトコルを送信するようになりました。(DOTNET-5145)

  • エージェントにContrast.AgentExplorer.Backend.exeプロセスが取り込まれなくなりました。(DOTNET-5116)

リリース日:2023年6月28日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • Spanの伝播をトレースする際のパフォーマンスを改善しました。(DOTNET-3853、DOTNET-3856、DOTNET-3860、DOTNET-3861、DOTNET-3870、DOTNET-5034、DOTNET-5036、DOTNET-5037、DOTNET-5038、DOTNET-5040)

リリース日:2023年6月13日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service¥です。

新機能と改善点:

  • Azure Functions Service Busのサポートがデフォルトでオンになるようにプロファイラを変更しました。(DOTNET-5080)

修正された不具合:

  • 入力に「/」や「.」文字が含まれている場合に、エージェントが報告するパストラバーサルの過検知に関する問題を修正しました。(DOTNET-5051)

  • Protectにおいて、エージェントがSQLインジェクションの過検知を報告する問題を修正しました。(DOTNET-5066)

リリース日:2023年5月31日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service¥です。

新機能と改善点:

  • より効率的にするために、実行時の早い段階でapp_pool_allowlist/denylistのチェックを行うようにしました。(DOTNET-5020)

  • 信頼できないデシリアライズの脆弱性のトリガーとなる可能性のあるガジェットリストからSystem.Data.DataSetを削除しました。(DOTNET-5045)

  • エージェントのログファイルが、パストラバーサルの脆弱性のトリガーとならないようにしました。(DOTNET-5054)

新機能と改善点:

  • Azure Functionアプリケーションのhost.jsonファイルに不正なJSONが存在する場合に、ルート検出は引き続き行われるようになりました。この場合は、ルートにプレフィックスがないものになります。(DOTNET-5058)

リリース日:2023年5月24日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service¥です。

新機能と改善点:

  • あるアプリケーションが管理者として実行され、別のアプリケーションが一般ユーザーとして実行されている場合、ログのクリーンアップ中に発生する例外を解消しました。(DOTNET-4963)

  • スキーム/ホストが実際には安全である特定のケースで、エージェントが未検証のリダイレクトの誤検知を報告しないようになりました。(DOTNET-5008)

  • 例外の発生やパフォーマンスの低下を引き起こす可能性のあるデータ収集におけるスレッドセーフの問題に対応しました。(DOTNET-4986)

  • クロスサイトスクリプティング(XSS)に対するTelerikの JavaScriptエンコードメソッドのシグネチャを追加し、それを使用するメソッドでクロスサイトスクリプティング(XSS)の脆弱性が検出されないようにしました。(DOTNET-5002)

リリース日:2023年5月9日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service¥です。

新機能と改善点:

  • バックグラウンドジョブを無効にする設定フラグ agent.dotnet.debug.background_job_deny_listを追加しました。

  • AgentLibの例外処理を改善しました。

  • インストーラーによるアンインストール時に全てのレジストリキーを削除するようになりました。

  • エージェントエクスプローラは、デフォルトのポートが既に使用されている場合、別のポートを検出するようになりました。

  • エージェントエクスプローラーは、IIS Express配下のアプリケーションのネイティブモジュールにプラットフォーム固有のパスを使用するようになりました。

Release date: April 20, 2023

Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0

The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

Bug fixes:

  • Fixed an issue that caused the Agent Explorer to crash on startup

Release date: April 12, 2023

Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0

The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

New and improved

  • Agent disables itself with a 404 message only if the response body includes an invalid application message

  • Fixed localization text in the installer

  • Log clean up is now done by one instance of the agent, thereby reducing resource consumption on start up

  • The agent has better logging if it cannot get the per-user config in certain cases

  • Agent Explorer displays a better message for applications that are not instrumented due to an application allowlist or denylist

  • Installer no longer hangs if IIS is not installed and it tries to run AppCmd

  • Agent no longer reports crypto-weak-randomness when certain database clients are used

リリース日: 2023年3月28日

現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • Service Busトリガーを使用して、Azure Functions アプリケーションで Service Busキューを除外できます。

  • Azure Functionsの環境変数の設定に関するドキュメントを改善しました。

Release date: March 21, 2023

Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0

The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

重要

Important improvements:

  • Installer: Changed the directories where the profiler and native modules are installed to: %ProgramFiles%\Contrast\dotnet-core\sensors\runtimes\&lt;platform&gt;\native\

  • Site Extension: Changed the directory where the profiler is installed to: content\ContrastNetCoreAppService-4.x.x.x\runtimes\&lt;platform&gt;\native\

  • Changed the name of the profiler DLL to: ContrastProfiler.dll.

  • The agent now supports layered configurations.

Other improvements:

  • The agent now uses the agent-lib library by default.

  • Improved the documentation for the diagnostics 'memory-usage' verb.

  • Offset starting background jobs in the agent to reduce startup resource usage.

  • Service Bus gRPC endpoints are no longer found during Azure Functions route discovery.

Release date: March 15, 2023

Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0

重要

With the release of the .NET Core agent version 3.0.0, Contrast support for .NET 5.0 and .NET Core 3.1 enters limited support. Under limited support, Contrast solves only the problems that we can reproduce under supported language versions

Microsoft support for .NET 5.0 ended on May 10th, 2022 . Contrast support for .NET 5.0 will EOS in December 2022. Also, support for .NET Core 3.1 ended on December 13th, 2022. The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, will not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

Contrast strongly recommends upgrading your applications to a newer, supported version of .NET.

New and improved:

  • Profiler no longer attaches to Contrast.AgentExplorer.exe.

  • Improved performance for log cleanup.

Release date: March 1, 2023

Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0

重要

With the release of the .NET Core agent version 3.0.0, Contrast support for .NET 5.0 and .NET Core 3.1 enters limited support. Under limited support, Contrast solves only the problems that we can reproduce under supported language versions

Microsoft support for .NET 5.0 ended on May 10th, 2022 . Contrast support for .NET 5.0 will EOS in December 2022. Also, support for .NET Core 3.1 ended on December 13th, 2022. The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, will not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

Contrast strongly recommends upgrading your applications to a newer, supported version of .NET.

New and improved:

  • Agent now supports chaining with Aternity.

  • Agent now reports Redis database connections to FlowMap for connections using the StackExchange Redis driver.

  • Azure Function apps are named after the assembly rather than the host.

  • The installer bootstrapper does not block bundle downgrades on silent installations.

Release date: February 3, 2023

Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0

重要

With the release of the .NET Core agent version 3.0.0, Contrast support for .NET 5.0 and .NET Core 3.1 enters limited support. Under limited support, Contrast solves only the problems that we can reproduce under supported language versions

Microsoft support for .NET 5.0 ended on May 10th, 2022 . Contrast support for .NET 5.0 will EOS in December 2022. Also, support for .NET Core 3.1 ended on December 13th, 2022. The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, will not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

Contrast strongly recommends upgrading your applications to a newer, supported version of .NET.

New and improved:

  • Assess and Protect now detect SQL-injection vulnerabilities for PostgresSQL databases that use the npgsql library.

  • Agent now reports PostgresSQL database connections to FlowMap for connections using the npgsql library.

  • Expanded the ValueStringBuilder support for some propagation signatures.

Release date: January 25, 2023

Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0

重要

With the release of the .NET Core agent version 3.0.0, Contrast support for .NET 5.0 and .NET Core 3.1 enters limited support. Under limited support, Contrast solves only the problems that we can reproduce under supported language versions

Microsoft support for .NET 5.0 ended on May 10th, 2022 . Contrast support for .NET 5.0 will EOS in December 2022. Also, support for .NET Core 3.1 ended on December 13th, 2022. The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, will not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

Contrast strongly recommends upgrading your applications to a newer, supported version of .NET.

New and improved:

  • Expanded Assess coverage of String.Normalize APIs.

  • Attacks that Protect detects now include the parameter names for attacks originating from model-bound values set from parameters sources.

Release date: January 12, 2023

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Improved agent reporting of View components for FlowMaps in the Contrast web interface.

Release date: December 14, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • This release includes a new version of Agent Explorer with several bug fixes and UI improvements.

Release date: December 12, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • The agent now reports web service components that the application uses to populate the Contrast Flow Map.

  • The agent now supports attaching a debugger to .NET 6 applications without requiring the DOTNET_EXTERNAL_DebuggerLaunchDisablesCodeVersioning=0 environment variable.

  • The invariant culture is now used when writing Protect events to syslog. (DOTNET-4661)

Bug fixes:

  • When both the agent package and the installed agent were deployed to the same server, the agent package's instrumentation would load the installed agent's sensors component. This issue is now fixed. (DOTNET-4683)

Release date: November 21, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

Bug fixes:

  • Assess would report an XSS when ASPNET Core MVC used the URL, encoded by the framework when necessary, in generated form actions. This has been fixed. (DOTNET-4623)

  • The agent will now more reliably detect and report databases to Flow Map. (DOTNET-2199)

Release date: November 8, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Added support for .NET 7.

Release date: November 9, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Agent Explorer now shows statistics for the number of vulnerabilities, number of attacks, and external services that agents observe, as well as information for libraries seen and number of classes that each library uses.

Bug fixes:

  • Assess could sometimes report vulnerabilities involving data flow using interned strings. This issue is now fixed. (DOTNET-4589)

Release date: November 2, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Further reduced the number of allocations that Contrast Assess uses to track dataflow through StringBuilder.Replace APIs.

Release date: October 31, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Significantly improved performance, particularly for allocations that Assess uses to track dataflow through StringBuilder.Replace APIs.

Release date: October 18, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • In Agent Explorer, the detailed view of an agent now displays why a degraded or faulted agent is in a bad state.

Bug fixes:

  • In Agent Explorer, the Summary tab now shows a consistent number of agents across different components. (DOTNET-4580)

  • Agents running within .NET Core 3.1 applications failed to report to Agent Explorer. This issue is now fixed. (DOTNET-4579)

Release date: October 13, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

Bug fixes:

  • Applications could crash when running with Dynatrace OneAgent when an environment variable was changed to a null value. This issue is now fixed. (DOTNET-4594)

    This issue was incorrectly reported as fixed in .NET Core 2.3.1.

Release date: October 13, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

Bug fixes:

  • Applications could crash when running with Dynatrace OneAgent when an environment variable was changed to a null value. This issue is now fixed. (DOTNET-4594)

  • Assess would incorrectly report a vulnerability when the value of the content-length header was used in a sink such as a database query. This issue is now fixed. (DOTNET-4537)

Release date: October 5, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • The .NET Core agent for IIS installer now includes Agent Explorer, a separate GUI application that provides high-level information about locally running .NET and .NET Framework agents. Use Agent Explorer to see high-level information such as:

    • Applications and servers that the agent reports

    • Agent configuration

    • Agent version, anguage, and runtime

    • List of applications that are currently deployed to IIS and/or IIS Express and instrumented.

Bug fixes:

  • Protect now reports the IP address of an attack in more scenarios.

  • The .NET Core for IIS agent now supports running alongside Dynatrace in both in-process and out-of-process modes. Previously the agent only supported running alongside Dynatrace when using in-process hosting. (DOTNET-4572)

Release date: September 27, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

new and improved:

  • .NET 7 RC1 is now supported.

  • Input exclusions now have full regular expression support.

Release date: August 29, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

Bug fixes

  • Fixed a reported issue where the diagnostics executable would crash with an error Contrast.AgentLib was not found.

  • The agent would observe admin routes within Azure Functions that are only executed by the Azure Functions internals. The agent no longer reports these admin routes (DOTNET-4464).

Release date: August 23, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

Bug fixes

  • Agent upgrades for the installed IIS agent would fail when an agent was installed with a custom data directory. This issue has been fixed. (DOTNET-4453)

Release date: August 8, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

Bug fixes:

  • The Agent Upgrade Service would only check for updates after restarting a second time, this has now been fixed. (DOTNET-4318)

Release date: August 1, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Agent will now report SMTP Injection vulnerabilities under Assess.

  • On Windows Server 2012, the IIS installer will now warn users to install VC++ redistributable package necessary for the agent's upgrade service.

Bug fixes:

  • The agent would fail to clean up rolled over log files from native components. This has been fixed. (DOTNET-4314)

Release date: July 12, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

Bug fixes:

  • Assess hsts-header-missing previously checked the presence and value of the strict-transport-security header for requests made over TLS only. The rule will now also check for the strict-transport-security header if the X-Forwarded-Proto header indicates the request was made over TLS but TLS was terminated before reaching the application.

  • Diagnostics now offers a read-config option that will report on the effective configuration of currently running instrumented applications on the server.

  • Improved the accuracy of Protect XXE detection, fixing a false negative.

  • Assess previously reported the usage of a weak hash algorithm within Microsoft's Application Insight's snapshot collector. This will no longer be reported. (DOTNET-4252)

Release date: June 28, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

Bug fixes:

  • Agent could cause an application error when capturing the application's response when the HTTP context was null at the end of the request. This has been fixed. (DOTNET-4219)

  • Resolved a performance regression only present in version 2.1.15.

Release date: June 21, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Improved Assess response capture, especially with regards to reducing the agent's impact to response streaming.

  • Improved detection of when the agent is running in an Azure Functions environment.

Release date: June 13, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

Bug fixes:

  • The agent did not send assess.tags with the "preflight" vulnerability check (but did send this information with the vulnerability report.) The agent now sends the expected information with both messages. (DOTNET-4157)

  • Assess analysis did not include ASPNET Core MVC model-bound path parameters. The agent will now correctly find vulnerabilities originating from a model-bound path parameter. (DOTNET-4163)

Release date: May 26, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Added Assess sanitizers for mganss' HtmlSanitizer APIs. (DOTNET-4033)

  • Reduced the amount of memory used by the runtime for all libraries not instrumented by the agent. This has resulted in 5-10% reduction in process memory.

Release date: May 17, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

重要

Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.

New and improved:

  • Improved Assess taint tracking for validation methods.

  • Assess will no longer propagate on HttpRequest.PathBase .(DOTNET-4117)

Release date: May 10, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Improved accuracy of Assess URL character tracking to exclude the port number. (DOTNET-4093)

  • Assess will no longer report path traversal on Linux systems when ASP.NET Core reads time zone info from the file system. (DOTNET-4062)

Release date: April 27, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Minor performance improvements to the cost of calling into Contrast sensors from instrumented code.

  • Added diagnostics check-access option to test that a Windows user has access to agent profiler and sensor components.

  • Improved cookie value parsing logic to avoid reporting that an invalid cookie is missing HttpOnly or secure flags.

Release date: April 14, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

Bug fixes:

  • Protect untrusted deserialization did not respect URL exclusions. (DOTNET-4019)

  • Agent failed to detect web service flow map components when an application used .NET Core's dependency injection (i.e., services.AddHttpClient).(DOTNET-4023)

Release date: March 24, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Agent will now report web service components which can be viewed on the application's flow map diagram. (This item mistakenly appeared in release notes for 2.1.6)

  • Expanded APIs used to detect unvalidated redirect vulnerabilities under Assess.

  • Diagnostics validate-yaml will now validate application.metadata and application.session_metadata values follow expected format.

  • Added new deep-connect diagnostics command to help troubleshoot agent communication with Contrast.

Bug fixes:

  • Semantic Path Traversal attacks would be detected and blocked by the agent but failed to report to Contrast. (DOTNET-3978)

Release date: March 16, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Diagnostics cert-info command's validation of certificates now more closely matches the agent's HttpClient's certificate validation.

Bug fixes:

  • The Azure App Service Site Extension's XDT in version 2.1.6 included a bad transform that caused the App Service instance to crash. This has been fixed. (DOTNET-3983)

Release date: March 14, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Improved reporting of library class names to exclude compiler-generated types.

  • Added Protect support for GraphQL inputs.

  • Agent will now report web service components which can be viewed on the application's flow map diagram.

  • Diagnostics config-keys will now provide descriptions for special Contrast environment variables that can be used to configure specific agent behavior (e.g., CONTRAST_CONFIG_PATH to set the path of the agent's configuration file.)

Bug fixes:

  • Agent instrumentation of Utf8JsonReader lead to an application crash under 32-bit processes.

  • In some rare cases, the Azure App Service Site Extension could fail to cleanly upgrade because the agent's profiler component was locked. Agent components within the site extension are now housed in a version-specific directory. Note that users that have manually specified the path to agent components will need to update these paths. This should not be common as the Site Extension automatically sets the environment variables with the correct paths necessary to load the agent.

Release date: February 28, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Improved performance of Assess analysis, especially with regards to methods with internal implementations that make heavy use of Span APIs.

  • Assess potential sanitizers and validators will now be automatically reported to Contrast by default.

  • .NET Core for IIS agent now enables profiler chaining by default.

Release date: February 10, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Assess now supports GraphQL sources and route coverage for graphql-dotnet library versions 4.0.1+.

  • Improved performance by reducing cost of jumping from instrumented code to Contrast sensors.

Release date: January 24, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Improved performance of Assess analysis of System.Text.Json API calls.

Bug fixes:

  • The agent's sensors component did not respect a custom data directory set during install. (DOTNET-3739)

  • Diagnostics' system-info command failed to gather information about IIS application pools and applications. (DOTNET-3670)

Release date: January 11, 2022

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Improved performance of Assess and Protect analysis by reducing the cost of calling into Contrast code from instrumented code.

  • Improved performance of Assess analysis of application code with data flow within LINQ where clauses.

Bug fixes:

  • Fixed an issue where agent logs indicated an error due to a missing default configuration value. (DOTNET-3633)

  • Fixed an issue where the agent's Upgrade Service component could crash when instrumented by the Contrast .NET Core agent earlier than 2.1.0. Note that this would only occur if a user set global environment variables to add the Contrast .NET Core agent's profiler. (DOTNET-3689)

  • Routes included the application's virtual path when deployed to IIS.  (DOTNET-3632)

Release date: December 14, 2021

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • Now supports profiler chaining with AppDynamics.

  • Now supports Assess log-injection.

Bug fixes:

  • When an instrumented application used a static DI container with cookie options then the agent would cause the application to fail to start. (DOTNET-3630)

Important note:

Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1, 5.0, and 6.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.

Release date: November 9, 2021

Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0

New and improved:

  • .NET Core 2.1.0 adds support for applications targeting .NET 6.

  • Improved Assess data flow analysis through APIs using SpanMemoryValueTaskValueStringBuilder, and StringSegment types.

  • Agent now recognizes specific DateOnly and TimeOnly APIs as validators for Assess.

  • Added route coverage support for .NET 6's minimal API structure.

Important note:

Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1 and 5.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.

Release date: October 6, 2021

Language versions currently supported: .NET Core: 3.0, 3.1, 5.0

注記

Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1 and 5.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.

New and improved:

  • The .NET Core agent now supports Assess Stored XSS and Trust Boundary Violation rules.

  • Minor performance improvements.

  • Improved security of the agent upgrade service.

Bug fixes:

  • NullReferenceException when agent attempted to determine the version of .NET Core from an unusual command line. (DOTNET-3454)

  • Assess SQL Injection false positive when numeric values were safely used by Entity Framework Core internally. (DOTNET-3435)

Release date: September 22, 2021

Language versions currently supported: .NET Core: 3.0, 3.1, 5.0

注記

Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1 and 5.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.

New and improved:

  • Improved Assess data flow coverage through String.Format and JsonEncodedText.Encode.

  • Added Assess and Protect handling for when System.Text.Json serialization is set as the formatter/model-binder for ASP.NET Core.

Release date: September 1, 2021

Language versions currently supported: .NET Core: 3.0, 3.1, 5.0

注記

Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1 and 5.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.

New and improved:

  • Further reduced the amount of memory used by the agent's profiler component.

  • Reduced agent's overhead on each request.

Release date: August 16, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

注記

An upcoming version (2.0) of the .NET Core agent will drop support for .NET Core 2.1 and 3.0. This follows Microsoft's support policy with .NET Core 2.1 support ending on August 22nd. (.NET Core 3.0 EOL was March 3, 2020)

New and improved:

  • The installed .NET Core for IIS agent now includes an auto-upgrade service that, if enabled in the service's configuration, will automatically upgrade the agent to the latest version on NuGet.

  • Improved Assess coverage APIs involving Span<T>Range, and Index parameters.

  • The agent will no longer report weak hash algorithm used by the Azure Storage client SDK.

Bug fixes:

  • The agent would fail to discover routes declared using ASPNET Core MVC 3+ endpoint-style routing. (DOTNET-3265)

Release date: July 22, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

注記

An upcoming version (2.0) of the .NET Core agent will drop support for .NET Core 2.1 and 3.0. This follows Microsoft's support policy with .NET Core 2.1 support ending on August 22nd. (.NET Core 3.0 EOL was March 3, 2020)

New and improved:

  • Further reduced memory usage of the agent's profiler component.

  • Improved Assess coverage of Memory<T> and MemoryExtension APIs.

  • Added official support for RHEL 7 and 8.

Bug fixes:

  • The agent could fail to report discovered routes to Contrast. (DOTNET-3234)

Release date: July 12, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Reduced the amount of memory used by the agent's profiler component.

  • Improved Assess coverage of Memory<T> and Span<T> APIs.

Bug fixes:

  • Agent did not respect URL-based exclusions for Assess response-based rules. (DOTNET-3161)

Release date: June 30, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Protect will no longer report semantic SQL findings on queries constructed safely using EF Core 2.1/3.1/5.0.

  • Profiler will now log all profiler settings, not just settings from the YAML file.

  • Profiler will no longer instrument diagnostics/powershell/powershell core.

  • Improved Assess coverage of APIs that return task.

Release date: June 21, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Protect will no longer report semantic SQL chaining on queries constructed safely using LINQ 2 SQL.

  • Protect will no longer report use of dangerous functions on queries constructed safely using Entity Framework.

Bug fixes:

  • Agent's interaction with ASPNET Core's DI container could cause applications built on top of a Boilerplate template to not start up. (DOTNET-3038)

  • Assess will no longer report untrusted deserialization against JsonNET JsonSerializerProxy. (DOTNET-3031)

Release date: June 14, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

Bug fixes:

  • Assess false positive when using JsonSerializerProxy with Json.NET deserialization. (DOTNET-3031)

Release date: June 10, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

Bug fixes:

  • Agent did not send sessionId when reporting routes. (DOTNET-3021)

Release date: June 2, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Improved performance of calling into Contrast code from instrumented methods.

  • Improved agent startup performance.

  • Will now discover and observe health check routes.

  • Will now observe endpoint routing routes (discovery was implemented in a previous version).

Release date: May 25, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Agent will now discover endpoint routing routes.

Release date: May 20, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Improved memory usage of logging communication with Contrast.

  • Agent will now discover and observe routes used by routing middleware handlers.

Release date: May 12, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Reduced memory used by agent to capture stack traces.

  • Improve performance of capturing repeated stack traces under Protect.

  • Improved Assess coverage of ref struct objects when using the Common Instrumentation Engine (CIE).

  • Improved Assess sql-injection coverage of EF Core APIs.

Release date: May 5, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Expanded coverage of Protect cmd-injection rule.

  • Will now discover health check routes.

  • Diagnostics now offers create-script to create deployment "scripts" for the local machine. Currently supports PowerShell, bash, launch settings, and web.config.

  • Diagnostics check-process will now inspect logs in the logs directory specified by environment variable (if set).

  • Agent will now report agent errors to telemetry.

Bug fixes:

  • Agent could fail to identify Assess sources when inspecting a model bound object that mixed JObject type within a POCO type. (DOTNET-2534)

  • Library reporting could fail on obfuscated assemblies. (DOTNET-2846)

Release date: April 19, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Improved logging when both CLR and CoreCLR are in the same process.

  • Improved instrumentation performance under CLR Instrumentation Engine (CIE).

  • Improved logging for unsupported .NET Core runtime versions.

  • Added verb + url reporting for .NET Core Razor Pages discovered routes.

Bug fixes:

  • Fixed an error in parsing certain SQL queries in Protect semantic SQL rules. (DOTNET-646)

  • Fixed a memory leak. (DOTNET-2771)

Release date: April 13, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Agent initialization will now log the final resolved value for assess.enable and protect.enable.

  • Improved route discovery for controller actions using convention or pattern-based routing.

Bug fixes:

  • .NET Core agent hangs on async tasks. (SUP-2667)

Release date: March 25, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Improved accuracy for async APIs under Assess.

  • Accurate reporting of the verb and URL parameters for unexercised routes when using the NetCore framework.

Release date: March 10, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Added support for server.path configuration.

  • The agent will now report the host of Web Service components.

Release date: March 2, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Improved agent performance by alleviating common agent hot spots.

  • Improved Assess data propagation on asynchronous methods.

  • Improved Assess detection of unsafe cryptographic algorithms.

Bug fixes:

  • Agent does not properly handle valid tls_versions configuration: tls|tls11|tls12 (DOTNET-2551)

  • The agent's profiler component chooses not to instrument a process when .NET Framework runtime was loaded first but the environment variable indicated .NET Core. (SUP-2225)

Release date: February 10, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Improved application archiving capabilities. Once an application is archived in the Contrast web interface, the .NET Core agent will be disabled without needing an IIS restart.

Bug fixes:

  • Different signatures for the same dataflow reports duplicate routes. (SUP-2345)

Release date: February 2, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

Important note:

  • All agent configuration settings referring to the terms blacklist and whitelist have been changed to denylist and allowlist, respectively. For example, agent.dotnet.app_pool_whitelist is now agent.dotnet.app_pool_allowlist. The agent will continue to respect the old configuration names until August 2nd, 2022.

New and improved:

  • Protect will now mask sensitive data in the attack vector if enabled in the Contrast web interface.

  • Refined crypto-bad-mac rule to ignore .NET Core library code.

  • Added support for additional .NET Core deployment types (self-contained and framework dependant executables).

Bug fixes:

  • Protect path traveral in monitoring mode will now report a path-traversal probe when an attack goes through a "path resolution API" such as Path.GetFullPath. (SUP-2190)

Release date: January 13, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Self-contained .NET Core deployments are now supported.

Release date: January 11, 2021

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • Added checkpoints to ensure semantic SQL rules are not reported by the agent when the rule is disabled in the Contrast web interface.

  • Added support for framework dependent executables.

  • Removed agent.dotnet.enable_runtimeid_callbackhandler configuration.

Bug fixes:

  • Session based auto-verification policies didn’t change the vulnerability status. (SUP-2365)

Release date: December 8, 2020

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • The profiler will now log to syslog in the event of a major error or exception.

Release date: December 1, 2020

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

Bug fixes:

  • .NET Core agent has a problem on startup when an application specified a custom NLog configuration file. (SUP-2220)

Release date: November 19, 2020

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0

New and improved:

  • The agent now supports .NET Core 5.

Release date: November 16, 2020

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1

New and improved:

  • The agent now reports names of classes used as part of enhanced library usage.

Bug fixes:

  • The agent was reporting misleading route observation predictions upon route discovery. (DOTNET-2213)

  • The agent fails to start when Contrast provided a syslog configuration with messages at INFO level. (DOTNET-2310)

  • The agent caused an error during agent initialization if the console was disabled. (DOTNET-2283)

Release date: October 29, 2020

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1

Important notes:

New and improved:

  • With this release, the CLR Instrumentation Engine (CIE) is fully supported. Custom CIE environment variables are no longer required and can be removed. (You may have to reinstall the site extension.)

  • Officially deprecated and removed CONTRAST__AGENT__DOTNET__CONTAINER. The configuration flag has no effect. All environments that required it, no longer require the flag to function.

  • Reduced the size of the Azure App Service Site Extension by removing diagnostics from the download. Diagnostics is still available for other deployment types.

  • Minor performance improvements under Protect's XSS.

Bug fixes:

  • When agent sensors failed to initialize under Windows, they would crash the IIS process with an "IOException: The handle is invalid." exception. (DOTNET-2253)

Release date: October 20, 2020

Language versions currently supported: .NET Core: 2.1, 3.0, 3.1

Important notes:

  • We will no longer support .NET Core 2.2 beginning with this version. This is keeping up with Microsoft’s support policy, and their announcement to end support for .NET Core 2.2 by Dec 23, 2019. If you are using .NET Core 2.2, please make sure to use the .NET Core agent version 1.5.20 or lower until you can upgrade your application’s .NET Core runtime.

New and improved:

  • The .NET Core agent now supports logging to stdout for managed code.

Bug fixes:

  • Found memory leak in correlation tasks. (SUP-2065)

Release date: October 8, 2020

Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1

Bug fixes:

  • Agent causes 500 if the app changes the maximum request body size. (SUP-2032, workaround available)

Release date: September 30, 2020

Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1

New and improved:

  • Telemetry now reports application framework and profiler chaining configurations.

Release date: September 17, 2020

Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1

New and improved:

  • Azure Service Fabric is supported as a deployment type for the .NET Core agent.

Bug fixes:

  • The agent does not respect the  api.certificate.ignore_cert_errors configuration property.

Release date: September 3, 2020

Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1

New and improved:

  • Telemetry is now enabled in the .NET Core agent in order to gather valuable data about the agent’s functionality. The data is all anonymous, no personal information is collected.

Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1

Bug fixes:

  • Agent fails to startup properly when application is archived. (SUP-1849)

Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1

Bug fixes:

  • Type scanning may throw an exception. (SUP-1671)

Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1

New features and improvements:

  • Improved logging around Virtual Patch usage.

Bug fixes:

  • Virtual patches for QueryString parameters do not work if the values contain structured data. (SUP-1763)

Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1

New features and improvements:

  • Improved logging around non-graceful shutdowns.

現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1

今月リリースされたエージェントのバージョン: 1.5.10, 1.5.11, 1.5.12

New features and improvements:

  • Added connect to contrast-dotnet-diagnostics to test the agent’s ability to connect to Contrast.

  • Added config-keys to contrast-dotnet-diagnostics to display configuration options supported by the agent.

  • Added cert-info to contrast-dotnet-diagnostics to display information about the certificate provided by the value of the api.url configuration setting.

  • Improved the performance of Protect SQL-Injection detection.

  • Improved the performance of Protect against XML-based inputs.

  • Added validate-yaml to contrast-dotnet-diagnostics to verify the agent’s contrast-security.yaml configuration file.

現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1

今月リリースされたエージェントのバージョン: 1.5.5, 1.5.7, 1.5.8, 1.5.9

New features and improvements:

  • Improved the Assess analysis used to identify SSRF vulnerabilities to reduce the number of false positives reported by the agent.

  • Improved the Protect analysis used to analyze user inputs for potential SQL injection attacks to improve accuracy and performance.

  • The agent will now clean up old logs.

  • Removed the dependency on Microsoft.Extensions.Caching.Memory.

  • Improved performance of Protect XSS.

  • Improved performance of Protect SQL-Injection.

修正された不具合:

  • When the agent would report vulnerabilities for four response-based Assess rules related to CSP and HSTS, the report would be rejected by Contrast due to missing information. The agent now sends all expected information for these rules.

  • When an instrumented application defined a type using a large number of nested generic types, the agent could cause a StackOverflow error. This has now been fixed.

  • When a user would disable multiple Protect rules through the ‘contrast.protect.disabled_rules’ setting in the yaml file, the agent would not respect this setting. The agent will now respect this configuration setting.

  • When a user would disable logging, the agent’s profiler component would still log high level information during initialization. The profiler will no longer create a log when logging is disabled.

現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1

今月リリースされたエージェントのバージョン: 1.5.3

New features and improvements:

  • Improved detection of dangerous path use in Protect; specifically, when interacting with the file system (path-traversal-semantic-dangerous-paths rule) and in arguments to OS commands (cmd-injection-semantic-dangerous-paths rule).

  • The agent will no longer attempt to load under .NET Core versions less than 2.1 as these versions are not supported.

修正された不具合:

  • When an application sent a request to the same URL as the current request, the agent would report an SSRF vulnerability. This is fixed now.

  • When the agent would report an xcontenttype-header-missing vulnerability, Contrast would reject the vulnerability report due to missing information. The agent now sends all expected information for this vulnerability.

  • When an instrumented application closed the response stream, the agent could cause an application error. This is fixed now.

  • When an instrumented application seeked within a response stream, the agent could cause an application error. This is fixed now.

現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1

今月リリースされたエージェントのバージョン: 1.4.0, 1.5.0

New features and improvements:

  • Added support for Linux Azure App Service.

  • Added support for Alpine.

  • Improved handling of scenarios where the agent would write repeated errors to log files, creating larger than necessary log files.

  • The agent will now log unknown configuration keys at startup. This should help with troubleshooting configuration issues (for example invalid yaml).

修正された不具合:

  • When applications redirected to a URL that had been validated using Url.IsLocalUrl, the agent would still report an unvalidated redirect vulnerability. The agent will now respect the Url.IsLocalUrl validator.

  • A race condition around requests for configuration values that did not have default values could lead to an unhandled error in the agent. The race condition has been fixed, default configuration values have been provided for all configuration options, and missing default configuration values are now properly handled.