.NET Coreエージェントのリリースノート
リリース日: 2024年10月1日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\
です。
新機能と改善点:
Contrast Assessの「ログインジェクション」ルールに
NO_NEWLINES
のチェックを追加しました。(DOTNET-5910)
修正された不具合:
New Relicの自動ログ収集とのチェーンを修正しました。(DOTNET-5847)
リリース日: 2024年9月12日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\
です。
新機能と改善点:
.NET Coreエージェントは、Contrastとの通信に
CONTRAST__API__TOKEN
の使用をサポートするようになりました。CONTRAST__API__URL
、CONTRAST__API__API_KEY
、CONTRAST__API__SERVICE_KEY
、およびCONTRAST__API__USER_NAME
の代わりに使用できます。(DOTNET-5778)注記
Contrastサーバからのダウンロード可能なエージェント設定ファイルにはトークンはまだ追加されません。
修正された不具合:
アップグレードサービスで競合状態が発生する可能性のある問題を修正しました。(DOTNET-5830)
MySqlConnectorのパスワードハッシュを脆弱性としてフラグを立てないようにしました。(DOTNET-5805)
リリース日: 2024年8月26日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
修正された不具合:
Contrast Protectでライブラリの読み込みが遅すぎて失敗の原因となっていた問題を修正しました。(DOTNET-5828)
リリース日: 2024年8月8日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
ProtectのSQLトークナイザの精度を向上しました。(DOTNET-5757)
ProtectでのSQLインジェクション攻撃の監視対象が、コード内のテキストに対してより正確になりました。(DOTNET-5758)
修正された不具合:
全てのルールを対象とするContrastの無害化が、
信頼境界線違反
ルールにも適用されるようにしました。 (DOTNET-5781)廃止予定のヘッダに対して「Content-Security-Policyヘッダが安全に設定されていないレスポンス」を報告しないようにしました。 (DOTNET-5793)
リリース日: 2024年7月25日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
AWSとAzureのクラウドリソースIDがContrastに自動的に送信されるようになりました。(DOTNET-5156)
エージェントインストーラに詳細オプションを追加し、インストールの初期段階でIISを停止し、インストールが完了したら再起動できるようにしました。(DOTNET-5765)
サポートされていないバージョンのASP.NET Coreアセンブリに関する警告をプロファイラに追加しました。(DOTNET-5739)
.NET Coreのサイト拡張機能に、不要なContrast Linuxライブラリを含めないようにしました。(DOTNET-5746)
リリース日: 2024年7月3日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
エージェントのインストーラにログを追加し、保留中の再起動とロックされたファイルに関する情報を記録するようにしました。(DOTNET-5716)
修正された不具合:
agent-libにおいてRefererヘッダに起因するパストラバーサル(Contrast Protect)の過検知を修正しました。(DOTNET-5717)
詳細接続テストにおけるIPv6アドレスの処理を修正しました。(DOTNET-5735)
リリース日: 2024年7月1日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
agent-libのFlatBuffersのバージョンを更新しました。(DOTNET-5722)
エージェント設定ファイルに、探査検出の解析を制御する設定項目を追加しました。(DOTNET-5707)
エージェント設定ファイルに、ルート観測エラーの機能フラグを追加しました。(DOTNET-5682)
エージェントが既知のサポート対象外テクノロジを観測した場合に、プロファイラから警告がログに記録されるようにしました。(DOTNET-5681)
プロファイラのログのタイムスタンプの精度をセンサーと同じ単位に合わせました。(DOTNET-5627)
XmlSerializer
データフローのパフォーマンスを改善しました。(DOTNET-3876)Json/Bsonリーダーのデータフローのパフォーマンスを改善しました。 (DOTNET-3873)
テキストエンコードのデータフローのパフォーマンスを改善しました。(DOTNET-3871)
TextWriterのプロパティへのアクセスに関するパフォーマンスを改善しました。(DOTNET-3872)
修正された不具合:
一時的な対策として、信頼されていないデシリアライゼーションのルールから
System.Xml.XmlDocument
を削除しました。(DOTNET-5684)agent-lib
においてUserAgent
ヘッダでパストラバーサルが過検知となる問題を修正しました。(DOTNET-5718)agent-lib
のSQLインジェクションの過検知を修正しました。(DOTNET-5719).NET Coreインストーラにて、他のプロパティの設定に関わらずIISがインストールされているかをチェックする起動条件がありましたが、この起動条件を削除しました。(DOTNET-5723)
エージェント設定ファイルの
assess.disabled_rules
をassess.rules.disabled_rules
に更新しました。(DOTNET-5678)
リリース日: 2024年5月21日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
修正された不具合:
エージェントのインストーラに必要な依存関係が含まれていない場合があった問題に対処しました。(DOTNET-5680)
特定のシナリオで、エージェントがURLに余分な
/Contrast
を追加していた問題を修正しました。(DOTNET-5644)特定の条件下で発生する
NullReferenceException
を修正しました。(DOTNET-5578)
リリース日: 2024年5月8日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
修正された不具合:
標準以外のパスが含まれている場合のContrast APIのURL解決を修正しました。(DOTNET-5636)
リリース日: 2024年5月1日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
アプリケーションの更新をより頻繁に報告し、ルート観測のエンドポイントへのリクエストを重複排除するようにしました。(DOTNET-5540)
修正された不具合:
api.url
に指定されたパスを配慮するようにしました。(DOTNET-5621)エージェントの有効な設定値の報告でファイル名を送信するようにしました。(DOTNET-5626)
リリース日: 2024年4月25日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
gRPC(Grpc.AspNetCore)のサポートを追加しました。(DOTNET-5366)
リリース日: 2024年4月24日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
ReJITCompilationStarted
の送信をチェーンされているプロファイラに制限するようにしました。(DOTNET-5620)AgentLib
のバージョンを更新し、最新のエージェントによるパストラバーサルの攻撃イベントを取得できるようにしました。(DOTNET-5613)
修正された不具合:
HttpsRedirectionMiddleware
が使用されていた場合の「未検証のリダイレクト」の検知漏れを修正しました。(DOTNET-5623)
リリース日: 2024年4月11日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
修正された不具合:
Contrastに送信される全てのリクエストに
User-Agent
フィールドが入力されるようになりました。(DOTNET-5599)
リリース日:2024年4月8日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
注記
エージェントのバージョン4.2.9はスキップされました。
新機能と改善点:
LinuxのDockerfileと診断ファイルに実行可能属性を付けて提供するようにしました。(DOTNET-5592)
エージェントで SMTPインジェクションを有効にしました。(DOTNET-5541)
修正された不具合:
NullReferenceException
の処理を改善しました。(DOTNET-5542)Hostヘッダにスペースが含まれるリクエストから307エラーがアプリケーションで受信された場合に、「未検証のリダイレクト」の過検知が報告されないようにしました。(DOTNET-5564)
リリース日:2024年3月7日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
修正された不具合:
Assessが無効な場合に、EndRequestフックで
NullReferenceException
がスローされないようにしました。(DOTNET-5555)
リリース日:2024年3月5日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
同じマシン上で、手動構成のインストールと、インストーラベースのインストールが検出された場合のログを追加しました。(DOTNET-5174)
修正された不具合:
パストラバーサルのファイルセキュリティの回避ルールに修正を加えました。(DOTNET-5520)
リリース日:2024年1月30日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
修正された不具合:
パフォーマンスメトリックが無効になっている場合には
KeyNotFoundException
が発生しないようにしました。(DOTNET-5507)
リリース日:2024年1月29日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
重要性が低い
WebOptimizer
メソッドを解析しないようにすることで、パフォーマンスを改善しました。 (DOTNET-5443)重要性が低い
NopCommerce
ハッシュメソッドを解析しないようにすることで、パフォーマンスを改善しました。(DOTNET-5425)
修正された不具合:
エージェントインストーラが、TLSの問題によりテレメトリにエラーを送信できない場合、エラーをログに記録しないようにしました。 (DOTNET-5465)
.NET 6および.NET 7での特定のシナリオで機能していなかったGraphQLのルート検出の問題を修正しました。(DOTNET-5451)
Swagger UIエンドポイントの未検証のリダイレクトは安全でないと見なされないため、脆弱性として報告されないようにしました。(DOTNET-5449)
リリース日:2024年1月9日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
コピーライトの年度を2024に更新しました。(DOTNET-5408)
プリミティブ型の
Half
、Int128
、UInt128
の構文解析を実装しました。(DOTNET-5439)XmlReader Get/Read
メソッドのトレース時のパフォーマンスを改善しました。(DOTNET-3866)TimeOnly
パースメソッドのトレース時のパフォーマンスを改善しました。 (DOTNET-3850)エージェントは、multipart/form-dataのリクエストボディでバッファリングを有効にしなくなりました。(DOTNET-5400)
修正された不具合:
GUIDを使用したEntity FrameworkクエリにおけるSQLインジェクションの過検知を修正しました。(DOTNET-5403)
アーカイブ
リリース日: 2023年12月14日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
エスケープされたSQL値に対するSQLインジェクションの誤検知に対応するために、
ProtectのAgentLib
を更新しました。(DOTNET-5406)
リリース日: 2023年12月5日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
注記
.NET Core 4.1.5は、リリースされませんでした。
新機能と改善点:
エージェントインストーラのブートストラッパで、ログ出力とNULL参照処理を拡張しました。(DOTNET-5397)
ThreadStaticシグネチャのパフォーマンスをさらに改善しました。 (DOTNET-3883、DOTNET-5380)
修正された不具合:
エージェントインストーラは、.NET Framework 4.6.2がインストールされていてもキャッシュされていない場合の要件を処理するようになりました。(DOTNET-5396)
エージェントエクスプローラで、移動または削除されたIIS Expressアプリケーションが正しく表示されるようになりました。(DOTNET-5390)
リリース日: 2023年11月17日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0、8.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
注記
.NET Core 4.1.5は、リリースされませんでした。
新機能と改善点:
.NET 8.0のサポートを追加しました。
インターン化された文字列に対するパフォーマンスを改善しました。(DOTNET-3597)
ThreadStaticメソッドのパフォーマンスを改善しました。(DOTNET-3848、DOTNET-3849)
必要に応じてIISを再起動するチェックボックスがオフにされている場合の警告を.NET Coreインストーラに追加しました。(DOTNET-5306)
パストラバーサル(Assess)のシンクとしてMicrosoftのシグネチャを追加しました。(DOTNET-5314)
プロファイラがアプリケーションへの接続に失敗した場合のログメッセージをクリーンアップしました。(DOTNET-5335)
メッセージのログ出力時のメモリ使用量を削減しました。(DOTNET-5336)
不足していた
String.Join
メソッドのシグネチャを追加しました。(DOTNET-5378)
リリース日: 2023年10月10日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
注記
.NET Core 4.1.5は、リリースされませんでした。
新機能と改善点:
LDAP APIを実装する際のパフォーマンスを向上させました。(DOTNET-3844)
EscapeForJs
を実装する際のパフォーマンスを向上させました。(DOTNET-3845)列挙型解析を実装する際のパフォーマンスを向上させました。(DOTNET-3846)
組み込み型の文字列解析を実装する際のパフォーマンスを向上させました。(DOTNET-3847)
XmlReader
を実装する際のパフォーマンスを向上させました。(DOTNET-3867)
修正された不具合:
MVCルート検出の実行中に例外がスローされた場合、エージェントからSentryにユーザデータが送信されないようにしました。(DOTNET-5299)
AnchorTagHelpers
経由でデータをトレースする際のパフォーマンスを改善しました。(DOTNET-5302)
リリース日: 2023年9月19日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
修正された不具合:
Contrast WebインターフェイスでProtectがオンになっている場合にセキュリティログが作成されない問題を修正しました。(DOTNET-5241)
セキュリティログに空のソースが含まれないようにしました。(DOTNET-5256)
プールされた配列が再利用される場合に、特定のケースで過検知とならないように修正しました。 (DOTNET-5234)
エージェントがgRPCのリクエストを検出した場合、ボディキャプチャを無効にするようにしました。(DOTNET-5000)
リリース日: 2023年9月5日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
ログファイルのパフォーマンスタイミングに、リクエストの開始と終了が含まれるようになりました。(DOTNET-5254)
AgentLibログ環境変数が、エージェントのIISネイティブモジュールで設定されるようになりました。(DOTNET-5068)
修正された不具合:
エージェントの有効な設定情報がContrastに送信される際にエラーが発生するバグを修正しました。(DOTNET-5242)
テレメトリサービスがWebサービスコンポーネントとして報告されないようにしました。(DOTNET-5232)
リリース日: 2023年8月28日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
URIの正規化を新しい標準に合わせることにより、重複排除(デデュープ)機能を改善しました。(DOTNET-5128)
ContrastのProtectで
path-traversal-semantic-file-security-bypass
ルールにコードとURLの除外を適用するようになりました。(DOTNET-5167)エージェントで、より多くの
System.Text.Json
メソッドによる伝播を追跡するようになりました。(DOTNET-3874)エージェントで、文字列の
ReadOnlySpan<T>
への暗黙の変換による伝播を追跡するようになりました。 (DOTNET-5011)不足していたStringBuilderメソッドのシグネチャを追加しました。(DOTNET-5015)
check-process
コマンドの実行時にCORECLR_PROFILER_PATH
をチェックするようになりました。(DOTNET-5075)
リリース日: 2023年8月2日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
エージェントは、有効な設定データをContrastサーバに送るようになりました。(DOTNET-5127)
ARM64 Alpineでエージェントが正しく接続できるようになりました。
リリース日: 2023年7月17日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
エージェントは、ARM64アーキテクチャを実行しているUbuntuでのアプリケーションをサポートするようになりました。
Span<T>オブジェクトの処理時のパフォーマンスを向上させました。
ThreadStaticメソッドの処理時のパフォーマンスを向上させました。
修正された不具合:
URI送信時にWebサービスのプロトコルを送信するようになりました。(DOTNET-5145)
エージェントに
Contrast.AgentExplorer.Backend.exe
プロセスが取り込まれなくなりました。(DOTNET-5116)
リリース日:2023年6月28日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
Spanの伝播をトレースする際のパフォーマンスを改善しました。(DOTNET-3853、DOTNET-3856、DOTNET-3860、DOTNET-3861、DOTNET-3870、DOTNET-5034、DOTNET-5036、DOTNET-5037、DOTNET-5038、DOTNET-5040)
リリース日:2023年6月13日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service¥
です。
新機能と改善点:
Azure Functions Service Busのサポートがデフォルトでオンになるようにプロファイラを変更しました。(DOTNET-5080)
修正された不具合:
入力に「/」や「.」文字が含まれている場合に、エージェントが報告するパストラバーサルの過検知に関する問題を修正しました。(DOTNET-5051)
Protectにおいて、エージェントがSQLインジェクションの過検知を報告する問題を修正しました。(DOTNET-5066)
リリース日:2023年5月31日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service¥
です。
新機能と改善点:
より効率的にするために、実行時の早い段階でapp_pool_allowlist/denylistのチェックを行うようにしました。(DOTNET-5020)
信頼できないデシリアライズの脆弱性のトリガーとなる可能性のあるガジェットリストから
System.Data.DataSet
を削除しました。(DOTNET-5045)エージェントのログファイルが、パストラバーサルの脆弱性のトリガーとならないようにしました。(DOTNET-5054)
新機能と改善点:
Azure Functionアプリケーションの
host.json
ファイルに不正なJSONが存在する場合に、ルート検出は引き続き行われるようになりました。この場合は、ルートにプレフィックスがないものになります。(DOTNET-5058)
リリース日:2023年5月24日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service¥
です。
新機能と改善点:
あるアプリケーションが管理者として実行され、別のアプリケーションが一般ユーザーとして実行されている場合、ログのクリーンアップ中に発生する例外を解消しました。(DOTNET-4963)
スキーム/ホストが実際には安全である特定のケースで、エージェントが未検証のリダイレクトの誤検知を報告しないようになりました。(DOTNET-5008)
例外の発生やパフォーマンスの低下を引き起こす可能性のあるデータ収集におけるスレッドセーフの問題に対応しました。(DOTNET-4986)
クロスサイトスクリプティング(XSS)に対するTelerikの JavaScriptエンコードメソッドのシグネチャを追加し、それを使用するメソッドでクロスサイトスクリプティング(XSS)の脆弱性が検出されないようにしました。(DOTNET-5002)
リリース日:2023年5月9日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service¥
です。
新機能と改善点:
バックグラウンドジョブを無効にする設定フラグ
agent.dotnet.debug.background_job_deny_list
を追加しました。AgentLib
の例外処理を改善しました。インストーラーによるアンインストール時に全てのレジストリキーを削除するようになりました。
エージェントエクスプローラは、デフォルトのポートが既に使用されている場合、別のポートを検出するようになりました。
エージェントエクスプローラーは、IIS Express配下のアプリケーションのネイティブモジュールにプラットフォーム固有のパスを使用するようになりました。
Release date: April 20, 2023
Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0
The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade
to true
in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\
by default if you want to enable upgrades across major versions.
Bug fixes:
Fixed an issue that caused the Agent Explorer to crash on startup
Release date: April 12, 2023
Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0
The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade
to true
in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\
by default if you want to enable upgrades across major versions.
New and improved
Agent disables itself with a 404 message only if the response body includes an
invalid application
messageFixed localization text in the installer
Log clean up is now done by one instance of the agent, thereby reducing resource consumption on start up
The agent has better logging if it cannot get the per-user config in certain cases
Agent Explorer displays a better message for applications that are not instrumented due to an application allowlist or denylist
Installer no longer hangs if IIS is not installed and it tries to run
AppCmd
Agent no longer reports crypto-weak-randomness when certain database clients are used
リリース日: 2023年3月28日
現在サポートしている言語バージョン: .NET Core: 3.1(限定的なサポート)、.NET 5.0(限定的なサポート)、6.0、7.0
IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgrade
をtrue
に設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-service
です。
新機能と改善点:
Service Busトリガーを使用して、Azure Functions アプリケーションで Service Busキューを除外できます。
Azure Functionsの環境変数の設定に関するドキュメントを改善しました。
Release date: March 21, 2023
Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0
The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade
to true
in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\
by default if you want to enable upgrades across major versions.
重要
Important improvements:
Installer: Changed the directories where the profiler and native modules are installed to:
%ProgramFiles%\Contrast\dotnet-core\sensors\runtimes\<platform>\native\
Site Extension: Changed the directory where the profiler is installed to:
content\ContrastNetCoreAppService-4.x.x.x\runtimes\<platform>\native\
Changed the name of the profiler DLL to:
ContrastProfiler.dll
.The agent now supports layered configurations.
Other improvements:
The agent now uses the
agent-lib
library by default.Improved the documentation for the diagnostics
'memory-usage'
verb.Offset starting background jobs in the agent to reduce startup resource usage.
Service Bus gRPC endpoints are no longer found during Azure Functions route discovery.
Release date: March 15, 2023
Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0
重要
With the release of the .NET Core agent version 3.0.0, Contrast support for .NET 5.0 and .NET Core 3.1 enters limited support. Under limited support, Contrast solves only the problems that we can reproduce under supported language versions
Microsoft support for .NET 5.0 ended on May 10th, 2022 . Contrast support for .NET 5.0 will EOS in December 2022. Also, support for .NET Core 3.1 ended on December 13th, 2022. The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, will not upgrade across major versions by default. Set enable_major_version_upgrade
to true
in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default
if you want to enable upgrades across major versions.
Contrast strongly recommends upgrading your applications to a newer, supported version of .NET.
New and improved:
Profiler no longer attaches to
Contrast.AgentExplorer.exe
.Improved performance for log cleanup.
Release date: March 1, 2023
Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0
重要
With the release of the .NET Core agent version 3.0.0, Contrast support for .NET 5.0 and .NET Core 3.1 enters limited support. Under limited support, Contrast solves only the problems that we can reproduce under supported language versions
Microsoft support for .NET 5.0 ended on May 10th, 2022 . Contrast support for .NET 5.0 will EOS in December 2022. Also, support for .NET Core 3.1 ended on December 13th, 2022. The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, will not upgrade across major versions by default. Set enable_major_version_upgrade
to true
in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default
if you want to enable upgrades across major versions.
Contrast strongly recommends upgrading your applications to a newer, supported version of .NET.
New and improved:
Agent now supports chaining with Aternity.
Agent now reports Redis database connections to FlowMap for connections using the StackExchange Redis driver.
Azure Function apps are named after the assembly rather than the host.
The installer bootstrapper does not block bundle downgrades on silent installations.
Release date: February 3, 2023
Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0
重要
With the release of the .NET Core agent version 3.0.0, Contrast support for .NET 5.0 and .NET Core 3.1 enters limited support. Under limited support, Contrast solves only the problems that we can reproduce under supported language versions
Microsoft support for .NET 5.0 ended on May 10th, 2022 . Contrast support for .NET 5.0 will EOS in December 2022. Also, support for .NET Core 3.1 ended on December 13th, 2022. The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, will not upgrade across major versions by default. Set enable_major_version_upgrade
to true
in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default
if you want to enable upgrades across major versions.
Contrast strongly recommends upgrading your applications to a newer, supported version of .NET.
New and improved:
Assess and Protect now detect SQL-injection vulnerabilities for PostgresSQL databases that use the npgsql library.
Agent now reports PostgresSQL database connections to FlowMap for connections using the npgsql library.
Expanded the
ValueStringBuilder
support for some propagation signatures.
Release date: January 25, 2023
Language versions currently supported: .NET Core: 3.1 (limited support), .NET 5.0 (limited support), 6.0, 7.0
重要
With the release of the .NET Core agent version 3.0.0, Contrast support for .NET 5.0 and .NET Core 3.1 enters limited support. Under limited support, Contrast solves only the problems that we can reproduce under supported language versions
Microsoft support for .NET 5.0 ended on May 10th, 2022 . Contrast support for .NET 5.0 will EOS in December 2022. Also, support for .NET Core 3.1 ended on December 13th, 2022. The Contrast Upgrade Service, which is installed alongside the .NET Core for IIS agent by default, will not upgrade across major versions by default. Set enable_major_version_upgrade
to true
in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default
if you want to enable upgrades across major versions.
Contrast strongly recommends upgrading your applications to a newer, supported version of .NET.
New and improved:
Expanded Assess coverage of
String.Normalize
APIs.Attacks that Protect detects now include the parameter names for attacks originating from model-bound values set from parameters sources.
Release date: January 12, 2023
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Improved agent reporting of View components for FlowMaps in the Contrast web interface.
Release date: December 14, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
This release includes a new version of Agent Explorer with several bug fixes and UI improvements.
Release date: December 12, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
The agent now reports web service components that the application uses to populate the Contrast Flow Map.
The agent now supports attaching a debugger to .NET 6 applications without requiring the
DOTNET_EXTERNAL_DebuggerLaunchDisablesCodeVersioning=0 environment
variable.The invariant culture is now used when writing Protect events to
syslog
. (DOTNET-4661)
Bug fixes:
When both the agent package and the installed agent were deployed to the same server, the agent package's instrumentation would load the installed agent's sensors component. This issue is now fixed. (DOTNET-4683)
Release date: November 21, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
Bug fixes:
Assess would report an XSS when ASPNET Core MVC used the URL, encoded by the framework when necessary, in generated form actions. This has been fixed. (DOTNET-4623)
The agent will now more reliably detect and report databases to Flow Map. (DOTNET-2199)
Release date: November 8, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0, 7.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Added support for .NET 7.
Release date: November 9, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Agent Explorer now shows statistics for the number of vulnerabilities, number of attacks, and external services that agents observe, as well as information for libraries seen and number of classes that each library uses.
Bug fixes:
Assess could sometimes report vulnerabilities involving data flow using interned strings. This issue is now fixed. (DOTNET-4589)
Release date: November 2, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Further reduced the number of allocations that Contrast Assess uses to track dataflow through
StringBuilder.Replace
APIs.
Release date: October 31, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Significantly improved performance, particularly for allocations that Assess uses to track dataflow through
StringBuilder.Replace
APIs.
Release date: October 18, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
In Agent Explorer, the detailed view of an agent now displays why a degraded or faulted agent is in a bad state.
Bug fixes:
In Agent Explorer, the Summary tab now shows a consistent number of agents across different components. (DOTNET-4580)
Agents running within .NET Core 3.1 applications failed to report to Agent Explorer. This issue is now fixed. (DOTNET-4579)
Release date: October 13, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
Bug fixes:
Applications could crash when running with Dynatrace OneAgent when an environment variable was changed to a null value. This issue is now fixed. (DOTNET-4594)
This issue was incorrectly reported as fixed in .NET Core 2.3.1.
Release date: October 13, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
Bug fixes:
Applications could crash when running with Dynatrace OneAgent when an environment variable was changed to a null value. This issue is now fixed. (DOTNET-4594)
Assess would incorrectly report a vulnerability when the value of the content-length header was used in a sink such as a database query. This issue is now fixed. (DOTNET-4537)
Release date: October 5, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
The .NET Core agent for IIS installer now includes Agent Explorer, a separate GUI application that provides high-level information about locally running .NET and .NET Framework agents. Use Agent Explorer to see high-level information such as:
Applications and servers that the agent reports
Agent configuration
Agent version, anguage, and runtime
List of applications that are currently deployed to IIS and/or IIS Express and instrumented.
Bug fixes:
Protect now reports the IP address of an attack in more scenarios.
The .NET Core for IIS agent now supports running alongside Dynatrace in both in-process and out-of-process modes. Previously the agent only supported running alongside Dynatrace when using in-process hosting. (DOTNET-4572)
Release date: September 27, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
new and improved:
.NET 7 RC1 is now supported.
Input exclusions now have full regular expression support.
Release date: August 29, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
Bug fixes
Fixed a reported issue where the diagnostics executable would crash with an error
Contrast.AgentLib was not found
.The agent would observe admin routes within Azure Functions that are only executed by the Azure Functions internals. The agent no longer reports these admin routes (DOTNET-4464).
Release date: August 23, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
Bug fixes
Agent upgrades for the installed IIS agent would fail when an agent was installed with a custom data directory. This issue has been fixed. (DOTNET-4453)
Release date: August 8, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
Bug fixes:
The Agent Upgrade Service would only check for updates after restarting a second time, this has now been fixed. (DOTNET-4318)
Release date: August 1, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Agent will now report SMTP Injection vulnerabilities under Assess.
On Windows Server 2012, the IIS installer will now warn users to install VC++ redistributable package necessary for the agent's upgrade service.
Bug fixes:
The agent would fail to clean up rolled over log files from native components. This has been fixed. (DOTNET-4314)
Release date: July 12, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
Bug fixes:
Assess
hsts-header-missing
previously checked the presence and value of thestrict-transport-security
header for requests made over TLS only. The rule will now also check for thestrict-transport-security
header if theX-Forwarded-Proto
header indicates the request was made over TLS but TLS was terminated before reaching the application.Diagnostics now offers a
read-config
option that will report on the effective configuration of currently running instrumented applications on the server.Improved the accuracy of Protect XXE detection, fixing a false negative.
Assess previously reported the usage of a weak hash algorithm within Microsoft's Application Insight's snapshot collector. This will no longer be reported. (DOTNET-4252)
Release date: June 28, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
Bug fixes:
Agent could cause an application error when capturing the application's response when the HTTP context was null at the end of the request. This has been fixed. (DOTNET-4219)
Resolved a performance regression only present in version 2.1.15.
Release date: June 21, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Improved Assess response capture, especially with regards to reducing the agent's impact to response streaming.
Improved detection of when the agent is running in an Azure Functions environment.
Release date: June 13, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
Bug fixes:
The agent did not send
assess.tags
with the "preflight" vulnerability check (but did send this information with the vulnerability report.) The agent now sends the expected information with both messages. (DOTNET-4157)Assess analysis did not include ASPNET Core MVC model-bound path parameters. The agent will now correctly find vulnerabilities originating from a model-bound path parameter. (DOTNET-4163)
Release date: May 26, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Added Assess sanitizers for mganss' HtmlSanitizer APIs. (DOTNET-4033)
Reduced the amount of memory used by the runtime for all libraries not instrumented by the agent. This has resulted in 5-10% reduction in process memory.
Release date: May 17, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
重要
Microsoft support for .NET 5.0 ended on May 10th, 2022. Contrast support for .NET 5.0 will EOS in December 2022. Upgrade your application to a newer, supported version of .NET.
New and improved:
Improved Assess taint tracking for validation methods.
Assess will no longer propagate on
HttpRequest.PathBase
.(DOTNET-4117)
Release date: May 10, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Improved accuracy of Assess URL character tracking to exclude the port number. (DOTNET-4093)
Assess will no longer report path traversal on Linux systems when ASP.NET Core reads time zone info from the file system. (DOTNET-4062)
Release date: April 27, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Minor performance improvements to the cost of calling into Contrast sensors from instrumented code.
Added diagnostics
check-access
option to test that a Windows user has access to agent profiler and sensor components.Improved cookie value parsing logic to avoid reporting that an invalid cookie is missing
HttpOnly
orsecure
flags.
Release date: April 14, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
Bug fixes:
Protect untrusted deserialization did not respect URL exclusions. (DOTNET-4019)
Agent failed to detect web service flow map components when an application used .NET Core's dependency injection (i.e.,
services.AddHttpClient
).(DOTNET-4023)
Release date: March 24, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Agent will now report web service components which can be viewed on the application's flow map diagram. (This item mistakenly appeared in release notes for 2.1.6)
Expanded APIs used to detect unvalidated redirect vulnerabilities under Assess.
Diagnostics
validate-yaml
will now validate application.metadata and application.session_metadata values follow expected format.Added new
deep-connect
diagnostics command to help troubleshoot agent communication with Contrast.
Bug fixes:
Semantic Path Traversal attacks would be detected and blocked by the agent but failed to report to Contrast. (DOTNET-3978)
Release date: March 16, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Diagnostics
cert-info
command's validation of certificates now more closely matches the agent's HttpClient's certificate validation.
Bug fixes:
The Azure App Service Site Extension's XDT in version 2.1.6 included a bad transform that caused the App Service instance to crash. This has been fixed. (DOTNET-3983)
Release date: March 14, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Improved reporting of library class names to exclude compiler-generated types.
Added Protect support for GraphQL inputs.
Agent will now report web service components which can be viewed on the application's flow map diagram.
Diagnostics
config-keys
will now provide descriptions for special Contrast environment variables that can be used to configure specific agent behavior (e.g.,CONTRAST_CONFIG_PATH
to set the path of the agent's configuration file.)
Bug fixes:
Agent instrumentation of Utf8JsonReader lead to an application crash under 32-bit processes.
In some rare cases, the Azure App Service Site Extension could fail to cleanly upgrade because the agent's profiler component was locked. Agent components within the site extension are now housed in a version-specific directory. Note that users that have manually specified the path to agent components will need to update these paths. This should not be common as the Site Extension automatically sets the environment variables with the correct paths necessary to load the agent.
Release date: February 28, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Improved performance of Assess analysis, especially with regards to methods with internal implementations that make heavy use of Span APIs.
Assess potential sanitizers and validators will now be automatically reported to Contrast by default.
.NET Core for IIS agent now enables profiler chaining by default.
Release date: February 10, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Assess now supports GraphQL sources and route coverage for graphql-dotnet library versions 4.0.1+.
Improved performance by reducing cost of jumping from instrumented code to Contrast sensors.
Release date: January 24, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Improved performance of Assess analysis of
System.Text.Json
API calls.
Bug fixes:
The agent's sensors component did not respect a custom data directory set during install. (DOTNET-3739)
Diagnostics' system-info command failed to gather information about IIS application pools and applications. (DOTNET-3670)
Release date: January 11, 2022
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Improved performance of Assess and Protect analysis by reducing the cost of calling into Contrast code from instrumented code.
Improved performance of Assess analysis of application code with data flow within LINQ where clauses.
Bug fixes:
Fixed an issue where agent logs indicated an error due to a missing default configuration value. (DOTNET-3633)
Fixed an issue where the agent's Upgrade Service component could crash when instrumented by the Contrast .NET Core agent earlier than 2.1.0. Note that this would only occur if a user set global environment variables to add the Contrast .NET Core agent's profiler. (DOTNET-3689)
Routes included the application's virtual path when deployed to IIS. (DOTNET-3632)
Release date: December 14, 2021
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
Now supports profiler chaining with AppDynamics.
Now supports Assess log-injection.
Bug fixes:
When an instrumented application used a static DI container with cookie options then the agent would cause the application to fail to start. (DOTNET-3630)
Important note:
Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1, 5.0, and 6.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.
Release date: November 9, 2021
Language versions currently supported: .NET Core: 3.1, .NET 5.0, 6.0
New and improved:
.NET Core 2.1.0 adds support for applications targeting .NET 6.
Improved Assess data flow analysis through APIs using
Span
,Memory
,ValueTask
,ValueStringBuilder
, andStringSegment
types.Agent now recognizes specific
DateOnly
andTimeOnly
APIs as validators for Assess.Added route coverage support for .NET 6's minimal API structure.
Important note:
Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1 and 5.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.
Release date: October 6, 2021
Language versions currently supported: .NET Core: 3.0, 3.1, 5.0
注記
Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1 and 5.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.
New and improved:
The .NET Core agent now supports Assess Stored XSS and Trust Boundary Violation rules.
Minor performance improvements.
Improved security of the agent upgrade service.
Bug fixes:
NullReferenceException
when agent attempted to determine the version of .NET Core from an unusual command line. (DOTNET-3454)Assess SQL Injection false positive when numeric values were safely used by Entity Framework Core internally. (DOTNET-3435)
Release date: September 22, 2021
Language versions currently supported: .NET Core: 3.0, 3.1, 5.0
注記
Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1 and 5.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.
New and improved:
Improved Assess data flow coverage through
String.Format
andJsonEncodedText.Encode
.Added Assess and Protect handling for when
System.Text.Json
serialization is set as the formatter/model-binder for ASP.NET Core.
Release date: September 1, 2021
Language versions currently supported: .NET Core: 3.0, 3.1, 5.0
注記
Starting with version 2.0.0, the Contrast .NET Core agent no longer supports .NET Core 2.1 and .NET Core 3.0. The agent continues to support .NET Core 3.1 and 5.0. This follows Microsoft's EOL for .NET Core 2.1 on August 22, 2021 and .NET Core 3.0 on March 3, 2020.
New and improved:
Further reduced the amount of memory used by the agent's profiler component.
Reduced agent's overhead on each request.
Release date: August 16, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
注記
An upcoming version (2.0) of the .NET Core agent will drop support for .NET Core 2.1 and 3.0. This follows Microsoft's support policy with .NET Core 2.1 support ending on August 22nd. (.NET Core 3.0 EOL was March 3, 2020)
New and improved:
The installed .NET Core for IIS agent now includes an auto-upgrade service that, if enabled in the service's configuration, will automatically upgrade the agent to the latest version on NuGet.
Improved Assess coverage APIs involving
Span<T>
,Range
, andIndex
parameters.The agent will no longer report weak hash algorithm used by the Azure Storage client SDK.
Bug fixes:
The agent would fail to discover routes declared using ASPNET Core MVC 3+ endpoint-style routing. (DOTNET-3265)
Release date: July 22, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
注記
An upcoming version (2.0) of the .NET Core agent will drop support for .NET Core 2.1 and 3.0. This follows Microsoft's support policy with .NET Core 2.1 support ending on August 22nd. (.NET Core 3.0 EOL was March 3, 2020)
New and improved:
Further reduced memory usage of the agent's profiler component.
Improved Assess coverage of
Memory<T>
andMemoryExtension
APIs.Added official support for RHEL 7 and 8.
Bug fixes:
The agent could fail to report discovered routes to Contrast. (DOTNET-3234)
Release date: July 12, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Reduced the amount of memory used by the agent's profiler component.
Improved Assess coverage of
Memory<T>
andSpan<T>
APIs.
Bug fixes:
Agent did not respect URL-based exclusions for Assess response-based rules. (DOTNET-3161)
Release date: June 30, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Protect will no longer report semantic SQL findings on queries constructed safely using EF Core 2.1/3.1/5.0.
Profiler will now log all profiler settings, not just settings from the YAML file.
Profiler will no longer instrument diagnostics/powershell/powershell core.
Improved Assess coverage of APIs that return task.
Release date: June 21, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Protect will no longer report semantic SQL chaining on queries constructed safely using LINQ 2 SQL.
Protect will no longer report use of dangerous functions on queries constructed safely using Entity Framework.
Bug fixes:
Agent's interaction with ASPNET Core's DI container could cause applications built on top of a Boilerplate template to not start up. (DOTNET-3038)
Assess will no longer report untrusted deserialization against JsonNET
JsonSerializerProxy
. (DOTNET-3031)
Release date: June 14, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
Bug fixes:
Assess false positive when using
JsonSerializerProxy
with Json.NET deserialization. (DOTNET-3031)
Release date: June 10, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
Bug fixes:
Agent did not send
sessionId
when reporting routes. (DOTNET-3021)
Release date: June 2, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Improved performance of calling into Contrast code from instrumented methods.
Improved agent startup performance.
Will now discover and observe health check routes.
Will now observe endpoint routing routes (discovery was implemented in a previous version).
Release date: May 25, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Agent will now discover endpoint routing routes.
Release date: May 20, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Improved memory usage of logging communication with Contrast.
Agent will now discover and observe routes used by routing middleware handlers.
Release date: May 12, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Reduced memory used by agent to capture stack traces.
Improve performance of capturing repeated stack traces under Protect.
Improved Assess coverage of ref struct objects when using the Common Instrumentation Engine (CIE).
Improved Assess sql-injection coverage of EF Core APIs.
Release date: May 5, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Expanded coverage of Protect cmd-injection rule.
Will now discover health check routes.
Diagnostics now offers
create-script
to create deployment "scripts" for the local machine. Currently supports PowerShell, bash, launch settings, and web.config.Diagnostics
check-process
will now inspect logs in the logs directory specified by environment variable (if set).Agent will now report agent errors to telemetry.
Bug fixes:
Agent could fail to identify Assess sources when inspecting a model bound object that mixed
JObject
type within a POCO type. (DOTNET-2534)Library reporting could fail on obfuscated assemblies. (DOTNET-2846)
Release date: April 19, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Improved logging when both CLR and CoreCLR are in the same process.
Improved instrumentation performance under CLR Instrumentation Engine (CIE).
Improved logging for unsupported .NET Core runtime versions.
Added verb + url reporting for .NET Core Razor Pages discovered routes.
Bug fixes:
Fixed an error in parsing certain SQL queries in Protect semantic SQL rules. (DOTNET-646)
Fixed a memory leak. (DOTNET-2771)
Release date: April 13, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Agent initialization will now log the final resolved value for
assess.enable
andprotect.enable
.Improved route discovery for controller actions using convention or pattern-based routing.
Bug fixes:
.NET Core agent hangs on async tasks. (SUP-2667)
Release date: March 25, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Improved accuracy for
async
APIs under Assess.Accurate reporting of the verb and URL parameters for unexercised routes when using the NetCore framework.
Release date: March 10, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Added support for
server.path
configuration.The agent will now report the host of Web Service components.
Release date: March 2, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Improved agent performance by alleviating common agent hot spots.
Improved Assess data propagation on asynchronous methods.
Improved Assess detection of unsafe cryptographic algorithms.
Bug fixes:
Agent does not properly handle valid tls_versions configuration: tls|tls11|tls12 (DOTNET-2551)
The agent's profiler component chooses not to instrument a process when .NET Framework runtime was loaded first but the environment variable indicated .NET Core. (SUP-2225)
Release date: February 10, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Improved application archiving capabilities. Once an application is archived in the Contrast web interface, the .NET Core agent will be disabled without needing an IIS restart.
Bug fixes:
Different signatures for the same dataflow reports duplicate routes. (SUP-2345)
Release date: February 2, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
Important note:
All agent configuration settings referring to the terms
blacklist
andwhitelist
have been changed todenylist
andallowlist
, respectively. For example,agent.dotnet.app_pool_whitelist
is nowagent.dotnet.app_pool_allowlist
. The agent will continue to respect the old configuration names until August 2nd, 2022.
New and improved:
Protect will now mask sensitive data in the attack vector if enabled in the Contrast web interface.
Refined crypto-bad-mac rule to ignore .NET Core library code.
Added support for additional .NET Core deployment types (self-contained and framework dependant executables).
Bug fixes:
Protect path traveral in monitoring mode will now report a path-traversal probe when an attack goes through a "path resolution API" such as
Path.GetFullPath
. (SUP-2190)
Release date: January 13, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Self-contained .NET Core deployments are now supported.
Release date: January 11, 2021
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
Added checkpoints to ensure semantic SQL rules are not reported by the agent when the rule is disabled in the Contrast web interface.
Added support for framework dependent executables.
Removed
agent.dotnet.enable_runtimeid_callbackhandler
configuration.
Bug fixes:
Session based auto-verification policies didn’t change the vulnerability status. (SUP-2365)
Release date: December 8, 2020
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
The profiler will now log to syslog in the event of a major error or exception.
Release date: December 1, 2020
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
Bug fixes:
.NET Core agent has a problem on startup when an application specified a custom NLog configuration file. (SUP-2220)
Release date: November 19, 2020
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1, 5.0
New and improved:
The agent now supports .NET Core 5.
Release date: November 16, 2020
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1
New and improved:
The agent now reports names of classes used as part of enhanced library usage.
Bug fixes:
The agent was reporting misleading route observation predictions upon route discovery. (DOTNET-2213)
The agent fails to start when Contrast provided a syslog configuration with messages at
INFO
level. (DOTNET-2310)The agent caused an error during agent initialization if the console was disabled. (DOTNET-2283)
Release date: October 29, 2020
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1
Important notes:
New and improved:
With this release, the CLR Instrumentation Engine (CIE) is fully supported. Custom CIE environment variables are no longer required and can be removed. (You may have to reinstall the site extension.)
Officially deprecated and removed CONTRAST__AGENT__DOTNET__CONTAINER. The configuration flag has no effect. All environments that required it, no longer require the flag to function.
Reduced the size of the Azure App Service Site Extension by removing diagnostics from the download. Diagnostics is still available for other deployment types.
Minor performance improvements under Protect's XSS.
Bug fixes:
When agent sensors failed to initialize under Windows, they would crash the IIS process with an "IOException: The handle is invalid." exception. (DOTNET-2253)
Release date: October 20, 2020
Language versions currently supported: .NET Core: 2.1, 3.0, 3.1
Important notes:
We will no longer support .NET Core 2.2 beginning with this version. This is keeping up with Microsoft’s support policy, and their announcement to end support for .NET Core 2.2 by Dec 23, 2019. If you are using .NET Core 2.2, please make sure to use the .NET Core agent version 1.5.20 or lower until you can upgrade your application’s .NET Core runtime.
New and improved:
The .NET Core agent now supports logging to stdout for managed code.
Bug fixes:
Found memory leak in correlation tasks. (SUP-2065)
Release date: October 8, 2020
Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1
Bug fixes:
Agent causes 500 if the app changes the maximum request body size. (SUP-2032, workaround available)
Release date: September 30, 2020
Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1
New and improved:
Telemetry now reports application framework and profiler chaining configurations.
Release date: September 17, 2020
Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1
New and improved:
Azure Service Fabric is supported as a deployment type for the .NET Core agent.
Bug fixes:
The agent does not respect the
api.certificate.ignore_cert_errors
configuration property.
Release date: September 3, 2020
Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1
New and improved:
Telemetry is now enabled in the .NET Core agent in order to gather valuable data about the agent’s functionality. The data is all anonymous, no personal information is collected.
Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1
Bug fixes:
Agent fails to startup properly when application is archived. (SUP-1849)
Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1
Bug fixes:
Type scanning may throw an exception. (SUP-1671)
Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1
New features and improvements:
Improved logging around Virtual Patch usage.
Bug fixes:
Virtual patches for QueryString parameters do not work if the values contain structured data. (SUP-1763)
Language versions currently supported: .NET Core: 2.1, 2.2, 3.0, 3.1
New features and improvements:
Improved logging around non-graceful shutdowns.
現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1
今月リリースされたエージェントのバージョン: 1.5.10, 1.5.11, 1.5.12
New features and improvements:
Added
connect
to contrast-dotnet-diagnostics to test the agent’s ability to connect to Contrast.Added
config-keys
to contrast-dotnet-diagnostics to display configuration options supported by the agent.Added
cert-info
to contrast-dotnet-diagnostics to display information about the certificate provided by the value of theapi.url
configuration setting.Improved the performance of Protect SQL-Injection detection.
Improved the performance of Protect against XML-based inputs.
Added
validate-yaml
to contrast-dotnet-diagnostics to verify the agent’s contrast-security.yaml configuration file.
現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1
今月リリースされたエージェントのバージョン: 1.5.5, 1.5.7, 1.5.8, 1.5.9
New features and improvements:
Improved the Assess analysis used to identify SSRF vulnerabilities to reduce the number of false positives reported by the agent.
Improved the Protect analysis used to analyze user inputs for potential SQL injection attacks to improve accuracy and performance.
The agent will now clean up old logs.
Removed the dependency on Microsoft.Extensions.Caching.Memory.
Improved performance of Protect XSS.
Improved performance of Protect SQL-Injection.
修正された不具合:
When the agent would report vulnerabilities for four response-based Assess rules related to CSP and HSTS, the report would be rejected by Contrast due to missing information. The agent now sends all expected information for these rules.
When an instrumented application defined a type using a large number of nested generic types, the agent could cause a StackOverflow error. This has now been fixed.
When a user would disable multiple Protect rules through the ‘contrast.protect.disabled_rules’ setting in the yaml file, the agent would not respect this setting. The agent will now respect this configuration setting.
When a user would disable logging, the agent’s profiler component would still log high level information during initialization. The profiler will no longer create a log when logging is disabled.
現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1
今月リリースされたエージェントのバージョン: 1.5.3
New features and improvements:
Improved detection of dangerous path use in Protect; specifically, when interacting with the file system (path-traversal-semantic-dangerous-paths rule) and in arguments to OS commands (cmd-injection-semantic-dangerous-paths rule).
The agent will no longer attempt to load under .NET Core versions less than 2.1 as these versions are not supported.
修正された不具合:
When an application sent a request to the same URL as the current request, the agent would report an SSRF vulnerability. This is fixed now.
When the agent would report an
xcontenttype-header-missing
vulnerability, Contrast would reject the vulnerability report due to missing information. The agent now sends all expected information for this vulnerability.When an instrumented application closed the response stream, the agent could cause an application error. This is fixed now.
When an instrumented application seeked within a response stream, the agent could cause an application error. This is fixed now.
現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1
今月リリースされたエージェントのバージョン: 1.4.0, 1.5.0
New features and improvements:
Added support for Linux Azure App Service.
Added support for Alpine.
Improved handling of scenarios where the agent would write repeated errors to log files, creating larger than necessary log files.
The agent will now log unknown configuration keys at startup. This should help with troubleshooting configuration issues (for example invalid yaml).
修正された不具合:
When applications redirected to a URL that had been validated using
Url.IsLocalUrl
, the agent would still report an unvalidated redirect vulnerability. The agent will now respect theUrl.IsLocalUrl
validator.A race condition around requests for configuration values that did not have default values could lead to an unhandled error in the agent. The race condition has been fixed, default configuration values have been provided for all configuration options, and missing default configuration values are now properly handled.