Skip to main content

.NET Frameworkエージェントのリリースノート

リリース日: 2024年12月5日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\です。

新機能と改善点:

  • クラウドリソースID収集時の再試行回数とタイムアウト時間を減らしました。(DOTNET-5962)

  • 「信頼されていないデシリアライゼーション」のルールからSystem.Web.Security.RolePrincipalを削除しました。(DOTNET-5850)

  • 「信頼されていないデシリアライゼーション」のルールからSystem.Xml.XmlDocument/XmlDataDocumentを削除しました。(DOTNET-5848)

修正された不具合:

  • Ganss HtmlSanitizerを無害化として認識するように、サポートを改善しました。(DOTNET-5780)

  • ルートカバレッジにMVCの部分ビューが正しく表示されるようになりました。(DOTNET-5976)

リリース日: 2024年11月20日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\です。

修正された不具合:

  • APIトークンの値が適切に設定されていなかった問題を修正しました。(DOTNET-5977)

リリース日: 2024年11月13日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\です。

新機能と改善点:

  • 本番環境におけるIAST(Contrast Assess)使用のサポートを追加しました。(DOTNET-5557)

修正された不具合:

  • 接続テストの実行時に通信系ライブラリで発生していた例外を修正しました。(DOTNET-5889)

リリース日: 2024年10月29日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\です。

修正された不具合:

  • 依存関係の解決に失敗していたライブラリの問題を修正しました。(DOTNET-5919、DOTNET-5924)

リリース日: 2024年10月18日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\です。

新機能と改善点:

  • Contrast Webインターフェイスからserver.environmentフィールドを適切に読み取るようにしました。(DOTNET-5897)

  • Azure App Servicesで依存性注入の例外がスローされるのを防ぐため、エージェントがAzure Functionsで実行されているかどうかを遅延的に判断するようにしました。(DOTNET-5926)

  • エージェントが実行するアクションに関与していない例外のスローが記録されないようにしました。(DOTNET-5854、DOTNET-5855、DOTNET-5856)

修正された不具合:

  • 一部の文字列メソッドによる伝播時に、特定の状況でArgumentNullExceptionが発生しないようにしました。(DOTNET-5918)

  • 通信DLLのロード時にFileNotFoundExceptionが発生しないようにしました。(DOTNET-5788)

リリース日: 2024年10月1日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\です。

修正された不具合:

  • New Relicの自動ログ収集とのチェーンを修正しました。(DOTNET-5847)

リリース日: 2024年9月12日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョン間でのアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:\ProgramData\Contrast\upgrade-service\です。

新機能と改善点:

  • .NET Frameworkエージェントは、Contrastとの通信にCONTRAST__API__TOKENの使用をサポートするようになりました。CONTRAST__API__URLCONTRAST__API__API_KEYCONTRAST__API__SERVICE_KEY、およびCONTRAST__API__USER_NAMEの代わりに使用できます。(DOTNET-5778)

    注記

    Contrastサーバからのダウンロード可能なエージェント設定ファイルにはトークンはまだ追加されません。

修正された不具合:

  • アップグレードサービスで競合状態が発生する可能性のある問題を修正しました。(DOTNET-5830)

  • MySqlConnectorのパスワードハッシュを脆弱性としてフラグを立てないようにしました。(DOTNET-5805)

  • ルートシグネチャに渡されるパラメータ型のアセンブリの読み込みを行わないようにしました。(DOTNET-5628)

リリース日: 2024年8月26日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エージェントは、FIPS準拠のハッシュアルゴリズを使用するようになりました。(DOTNET-5834)

修正された不具合:

  • MVCのアクションメソッドで使用されるパラメータ型のアセンブリのロードが発生しないようにしました。(DOTNET-5628)

  • Contrast Protectでライブラリの読み込みが遅すぎて失敗の原因となっていた問題を修正しました。(DOTNET-5828)

リリース日: 2024年8月8日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • ProtectのSQLトークナイザの精度を向上しました。(DOTNET-5757)

  • ProtectでのSQLインジェクション攻撃の監視対象が、コード内のテキストに対してより正確になりました。(DOTNET-5758)

修正された不具合:

  • 全てのルールを対象とするContrastの無害化が、信頼境界線違反ルールにも適用されるようにしました。 (DOTNET-5781)

  • 廃止予定のヘッダに対して「Content-Security-Policyヘッダが安全に設定されていないレスポンス」を報告しないようにしました。 (DOTNET-5793)

リリース日: 2024年7月25日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • AWSとAzureのクラウドリソースIDがContrastに自動的に送信されるようになりました。(DOTNET-5156)

  • エージェントインストーラに詳細オプションを追加し、インストールの初期段階でIISを停止し、インストールが完了したら再起動できるようにしました。(DOTNET-5765)

リリース日: 2024年7月3日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エージェントのインストーラにログを追加し、保留中の再起動とロックされたファイルに関する情報を記録するようにしました。(DOTNET-5716)

修正された不具合:

  • agent-libにおいてRefererヘッダに起因するパストラバーサル(Contrast Protect)の過検知を修正しました。(DOTNET-5717)

  • 詳細接続テストにおけるIPv6アドレスの処理を修正しました。(DOTNET-5735)

リリース日: 2024年7月1日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • agent-libのFlatBuffersのバージョンを更新しました。(DOTNET-5722)

  • エージェント設定ファイルに、探査検出の解析を制御する設定項目を追加しました。(DOTNET-5707)

  • エージェント設定ファイルに、ルート観測エラーの機能フラグを追加しました。(DOTNET-5682)

  • エージェントが既知のサポート対象外テクノロジを観測した場合に、プロファイラから警告がログに記録されるようにしました。(DOTNET-5681)

  • プロファイラのログのタイムスタンプの精度をセンサーと同じ単位に合わせました。(DOTNET-5627)

  • XmlSerializerデータフローのパフォーマンスを改善しました。(DOTNET-3876)

  • Json/Bsonリーダーのデータフローのパフォーマンスを改善しました。 (DOTNET-3873)

  • テキストエンコードのデータフローのパフォーマンスを改善しました。(DOTNET-3871)

修正された不具合:

  • 一時的な対策として、信頼されていないデシリアライゼーションのルールからSystem.Xml.XmlDocumentを削除しました。(DOTNET-5684)

  • リクエストURIが無効な場合のASP.NETの例外を処理するようにしました。(DOTNET-5709)

  • agent-libにおいてUserAgentヘッダでパストラバーサルが過検知となる問題を修正しました。(DOTNET-5718)

  • agent-libのSQLインジェクションの過検知を修正しました。(DOTNET-5719)

  • エージェント設定ファイルのassess.disabled_rulesassess.rules.disabled_rulesに更新しました。(DOTNET-5678)

リリース日: 2024年5月21日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • エージェントのインストーラに必要な依存関係が含まれていない場合があった問題に対処しました。(DOTNET-5680)

  • 特定のシナリオで、エージェントがURLに余分な/Contrastを追加していた問題を修正しました。(DOTNET-5644)

リリース日: 2024年5月8日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Coreエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • 標準以外のパスが含まれている場合のContrast APIのURL解決を修正しました。(DOTNET-5636)

リリース日: 2024年5月1日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

注記

.NET Framework 51.0.31はスキップされました。

新機能と改善点:

  • アプリケーションの更新をより頻繁に報告し、ルート観測のエンドポイントへのリクエストを重複排除するようにしました。(DOTNET-5540)

  • 再作成のリクエストで同じスレッドに再度データが設定されないようにしました。(DOTNET-5536)

修正された不具合:

  • api.urlに指定されたパスを配慮するようにしました。(DOTNET-5621)

  • エージェントの有効な設定値の報告でファイル名を送信するようにしました。(DOTNET-5626)

  • ルート探索中にルートをロードできない場合の警告メッセージを削除しました。(DOTNET-5598)

リリース日: 2024年4月24日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • ReJITCompilationStartedの送信をチェーンされているプロファイラに制限するようにしました。(DOTNET-5620)

  • AgentLibのバージョンを更新し、最新のエージェントによるパストラバーサルの攻撃イベントを取得できるようにしました。(DOTNET-5613)

修正された不具合:

  • ログメッセージのコードスニペット作成時にマスキングを使用するようにしました。(DOTNET-5617)

リリース日:2024年4月11日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • Contrastに送信される全てのリクエストにUser-Agentフィールドが入力されるようになりました。(DOTNET-5599)

  • ThreadDataをクリアするEndRequest時にエージェントからNullReferenceExceptionがスローされないようにしました。(DOTNET-5600)

  • 特定の状況のホストアドレス取得時にエージェントからArgumentExceptionがスローされないようにしました。(DOTNET-5543)

リリース日:2024年4月8日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

注記

エージェントのバージョン51.0.27はスキップされました。

新機能と改善点:

  • エージェントで SMTPインジェクションを有効にしました。(DOTNET-5541)

リリース日:2024年3月6日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • Assessが無効な場合に、EndRequestフックでNullReferenceExceptionがスローされないようにしました。(DOTNET-5555)

リリース日:2024年3月5日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • 同じマシン上で、手動構成のインストールと、インストーラベースのインストールが検出された場合のログを追加しました。(DOTNET-5174)

  • 新しいバージョンの.NETが既にインストールされている場合、.NET Frameworkエージェントのインストーラによって .NET Framework 4.7.1のインストーラがダウンロードされないようにしました。(DOTNET-5470)

  • FileUpload.FileNameの呼び出しのパフォーマンスを改善しました。(DOTNET-5523)

修正された不具合:

  • パストラバーサルのファイルセキュリティの回避ルールに修正を加えました。(DOTNET-5520)

リリース日:2024年1月30日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • パフォーマンスメトリックが無効になっている場合にはKeyNotFoundExceptionが発生しないようにしました。(DOTNET-5507)

リリース日:2024年1月29日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • エージェントインストーラが、TLSの問題によりテレメトリにエラーを送信できない場合、エラーをログに記録しないようにしました。 (DOTNET-5465)

リリース日:2024年1月9日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • コピーライトの年度を2024に更新しました。(DOTNET-5408)

修正された不具合:

  • GUIDを使用したEntity FrameworkクエリにおけるSQLインジェクションの過検知を修正しました。(DOTNET-5403)

アーカイブ

Release date: March 1, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

Bug fixes:

  • Protect semantic SQL injection rules cannot be disabled individually. (SUP-2325)

リリース日: 2023年11月21日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • 必要に応じてIISを再起動するチェックボックスがオフにされている場合の警告を.NET Frameworkインストーラに追加しました。(DOTNET-5304)

  • メッセージのログ出力時のメモリ使用量を削減しました。(DOTNET-5336)

  • プロファイラがアプリケーションへの接続に失敗した場合のログメッセージをクリーンアップしました。(DOTNET-5335)

  • インターン化された文字列に対するパフォーマンスを改善しました。(DOTNET-3597)

修正された不具合:

  • エージェントから、機密性の高い可能性のあるURLデータがテレメトリに送信されないようにしました。(DOTNET-5294)

  • Cookieのデシリアライズ時に、エージェントがデフォルト変換の使用にフラグを立てないようにしました。(DOTNET-5339)

リリース日: 2023年10月10日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エージェントによるXmlReaderの解析時のパフォーマンスを改善しました。

Release date: February 23, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

Bug fixes:

  • URL exclusions are not respected by Protect semantic SQL injection rules. (SUP-2325)

リリース日:2023年6月13日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • 入力に「/」や「.」文字が含まれている場合に、エージェントが報告するパストラバーサルの過検知に関する問題を修正しました。(DOTNET-5051)

  • Protectにおいて、エージェントがSQLインジェクションの過検知を報告する問題を修正しました。(DOTNET-5066)

  • ルート検索の実行時に、特定のケースで System.IO.FileNotFoundExceptionが発生する問題を修正しました。(DOTNET-5050)

リリース日: 2023年12月14日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エスケープされたSQL値に対するSQLインジェクションの誤検知に対応するために、ProtectのAgentLibを更新しました。(DOTNET-5406)

リリース日: 2023年12月5日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エージェントインストーラのブートストラッパで、ログ出力とNULL参照処理を拡張しました。(DOTNET-5397)

  • ThreadStaticシグネチャのパフォーマンスをさらに改善しました。 (DOTNET-3883、DOTNET-5380)

修正された不具合:

  • エージェントインストーラは、.NET Framework 4.6.2がインストールされていてもキャッシュされていない場合の要件を処理するようになりました。(DOTNET-5396)

  • エージェントエクスプローラで、移動または削除されたIIS Expressアプリケーションが正しく表示されるようになりました。(DOTNET-5390)

リリース日: 2023年11月21日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • Protectのコールバックの設定に関する問題を修正しました。(DOTNET-5393)

リリース日: 2023年9月19日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • Contrast WebインターフェイスでProtectがオンになっている場合にセキュリティログが作成されない問題を修正しました。(DOTNET-5241)

  • セキュリティログに空のソースが含まれないようにしました。(DOTNET-5256)

  • プールされた配列が再利用される場合に、特定のケースで過検知とならないように修正しました。 (DOTNET-5234)

  • キーと値のペアの間に区切り文字がない場合に、ASP.NETディレクティブを正しく読み取れるようにしました。(DOTNET-5250)

リリース日: 2023年9月5日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • ログファイルのパフォーマンスタイミングに、リクエストの開始と終了が含まれるようになりました。(DOTNET-5254)

  • AgentLibログ環境変数が、エージェントのIISネイティブモジュールで設定されるようになりました。(DOTNET-5068)

修正された不具合:

  • エージェントの有効な設定情報がContrastに送信される際にエラーが発生するバグを修正しました。(DOTNET-5242)

  • テレメトリサービスがWebサービスコンポーネントとして報告されないようにしました。(DOTNET-5232)

リリース日: 2023年8月28日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • URIの正規化を新しい標準に合わせることにより、重複排除(デデュープ)機能を改善しました。(DOTNET-5128)

  • ContrastのProtectでpath-traversal-semantic-file-security-bypassルールにコードとURLの除外を適用するようになりました。(DOTNET-5167)

リリース日: 2023年8月2日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • エージェントは、有効な設定データをContrastサーバに送るようになりました。(DOTNET-5127)

リリース日: 2023年7月17日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • ThreadStaticメソッドの処理時のパフォーマンスを向上させました。

修正された不具合:

  • エージェントにContrast.AgentExplorer.Backend.exeプロセスが取り込まれなくなりました。(DOTNET-5116)

リリース日:2023年6月28日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • Telerik Reportingライブラリ使用時のパストラバーサルの過検知を防ぐメソッドシグネチャを追加しました。(DOTNET-5091)

リリース日:2023年5月31日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • より効率的にするために、実行時の早い段階でapp_pool_allowlist/denylistのチェックを行うようにしました。(DOTNET-5020)

  • 信頼できないデシリアライズの脆弱性のトリガーとなる可能性のあるガジェットリストからSystem.Data.DataSetを削除しました。(DOTNET-5045)

  • エージェントのログファイルが、パストラバーサルの脆弱性のトリガーとならないようにしました。(DOTNET-5054)

修正された不具合:

  • Microsoft.AspNet.Identityライブラリが、MTPインジェクションの過検知のトリガーとならないようにしました。(DOTNET-5018)

  • 複数のContrastプロファイラが検出された場合、期待するバージョンのプロファイラがロードされていても、エージェントが例外をスローする問題を修正しました。(DOTNET-5023)

リリース日:2023年5月24日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

修正された不具合:

  • あるアプリケーションが管理者として実行され、別のアプリケーションが一般ユーザーとして実行されている場合、ログのクリーンアップ中に発生する例外を解消しました。(DOTNET-4963)

  • 異なるバージョンのSystem.Netを組み込んで実行した場合に、ルート検索時に発生する例外を解消しました。(DOTNET-4978)

  • スキーム/ホストが実際には安全である特定のケースで、エージェントが未検証のリダイレクトの誤検知を報告しないようになりました。(DOTNET-5008)

リリース日:2023年5月9日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • バックグラウンドジョブを無効にする設定フラグagent.dotnet.debug.background_job_deny_listを追加しました。

  • AgentLibの例外処理を改善しました。

  • インストーラーによるアンインストール時に全てのレジストリキーを削除するようになりました。

  • エージェントエクスプローラは、デフォルトのポートが既に使用されている場合、別のポートを検出するようになりました。

  • エージェントエクスプローラーは、IIS Express配下のアプリケーションのネイティブモジュールにプラットフォーム固有のパスを使用するようになりました。

Release date: April 20, 2023

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

The Contrast Upgrade Service, which is installed alongside the .NET Framework for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

Bug fixes:

  • Fixed an issue that caused the Agent Explorer to crash on startup

Release date: April 12, 2023

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

The Contrast Upgrade Service, which is installed alongside the .NET Framework for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

New and improved:

  • Agent disables itself with a 404 message only if the response body includes an invalid application message

  • The agent now uses the agent-lib library by default

  • Fixed localization text in the installer

  • Log clean up is now done by one instance of the agent, thereby reducing resource consumption on start up

  • The agent has better logging if it cannot get the per-user config in certain cases

  • The diagnostics CLI displays an error message if it tried to create a dump file, but failed

  • Agent Explorer displays a better message for applications that are not instrumented due to an application allowlist or denylist

  • Installer no longer hangs if IIS is not installed and it tries to run  AppCmd

  • Agent no longer reports crypto-weak-randomness when certain database clients are used

リリース日: 2023年3月28日

現在サポートしている言語バージョン:.NET Framework: 4.7.1、4.7.2、4.8

IIS用.NET Frameworkエージェントと共にデフォルトでインストールされるContrastのアップグレードサービスは、メジャーバージョンをまたいだアップグレードはデフォルトでは行われません。メジャーバージョンをまたいだアップグレードを有効にしたい場合は、アップグレードサービス設定ファイルのenable_major_version_upgradetrueに設定してください。ファイルのデフォルトの場所はC:¥ProgramData¥Contrast¥upgrade-serviceです。

新機能と改善点:

  • プロファイラは通信に名前付きパイプを使用しなくなったため、場合によっては CPU使用率が急上昇する可能性がありました。

Release date: March 21, 2023

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

The Contrast Upgrade Service, which is installed alongside the .NET Framework for IIS agent by default, does not upgrade across major versions by default. Set enable_major_version_upgrade to true in the upgrade service's configuration file in C:\ProgramData\Contrast\upgrade-service\ by default if you want to enable upgrades across major versions.

重要

Important improvements:

  • Installer: Changed the directories where the profiler and native modules are installed to: %ProgramFiles%\Contrast\dotnet\sensors\runtimes\<platform>\native\.

  • Site Extension: Changed the directories where the profiler is installed to: content\ContrastAppService-51.x.x.x\runtimes\<platform>\native\.

  • NuGet Package: Changed the directories where the profiler is installed to: content\contrastsecurity\runtimes\<platform>\native\.

  • Changed the name of the profiler DLL to ContrastProfiler.dll.

  • The agent now supports layered configurations.

  • Contrast Tray is no longer installed. Upgrading to 51.x.x removes it.

Other improvements:

  • The agent now uses the agent-lib library by default

  • Improved documentation for the diagnostics 'memory-usage' verb.

  • Offset starting background jobs in agent to reduce start up resource usage.

Release date: March 15, 2023

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Profiler no longer attaches to  Contrast.AgentExplorer.exe .

  • Improved performance for log cleanup.

  • DotnetAgentService no longer consumes 100% of CPU if the communication between it and Profiler gets into a bad state.

Release date: March 1, 2023

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The agent now supports chaining with Aternity.

  • The agent will now report Redis database connections to FlowMap for connections using the StackExchange Redis driver.

  • The installer bootstrapper does not block bundle downgrades on silent installations.

  • The Contrast Assess untrusted deserialization FormatterValidator does not treat use of non-null binder as safe.

  • The agent processes ASP.NET page directives with comment lines correctly.

Release date: February 2, 2023

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Assess and Protect now detect SQL-injection against PostgreSQL database usage of the npgsql library.

  • The agent now reports PostgreSQL database connections to FlowMap for connections using the npgsql library.

Release date: January 12, 2023

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved agent reporting of View components for FlowMaps in the Contrast web interface.

  • Added the agent.dotnet.file_analysis_report_full_path configuration flag with a default value of false.

    If you set the value to true, the agent reports the full file path (rather than a relative path) for Assess vulnerabilities discovered during file analysis (for example:. weak or vulnerable configurations in web.configor .aspx files.). This setting can result in the Contrast web interface displaying duplicate vulnerabilities if you deploy the same application to multiple servers with different physical paths.

Release date: December 14, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • This release includes a new version of Agent Explorer with several bug fixes and user interface improvements.

Release date: December 12, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The invariant culture is now used when writing Protect events to syslog.(DOTNET-4661)

Release date: November 21, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • The agent will now more reliably detect and report databases to Flow Map. (DOTNET-3924)

Release date: November 8, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Agent Explorer now shows statistics on number of vulnerabilities, number of attacks, and external services observed by agents, as well as information on libraries seen and number of classes used by each library.

Bug fixes:

  • Assess could sometimes report vulnerabilities involving data flow using interned strings. This has been fixed. (DOTNET-4589)

Release date: November 2, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Further reduced the number of allocations that Contrast Assess uses to track dataflow through StringBuilder.Replace APIs.

Release date: October 31, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Significantly improved performance, particularly for allocations that Assess uses to track dataflow through  StringBuilder.Replace APIs.

Bug fixes:

  • Diagnostics connect command failed with an unexpected error under .NET Framework. This issue is now fixed. (DOTNET-4634)

Release date: October 18, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • In Agent Explorer, the detailed view of an agent now displays why a degraded or faulted agent is in a bad state.

Bug fixes:

  • In Agent Explorer, the Summary tab now shows a consistent number of agents across different components. (DOTNET-4580)

Release date: October 13, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Applications could crash when running with Dynatrace OneAgent when an environment variable was changed to a null value. This has been fixed. (DOTNET-4594)

    This issue was incorrectly reported as fixed in .NET Framework 50.1.1

  • In .NET Framework 50.1.1, the installed agent's background service failed to start. This issue is now fixed.

Release date: October 13, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Applications could crash when running with Dynatrace OneAgent when an environment variable was changed to a null value. This issue is now fixed. (DOTNET-4594)

  • Assess would incorrectly report a vulnerability when the value of the content-length header was used in a sink such as a database query. This issue is now fixed. (DOTNET-4537)

Release date: October 5, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The .NET Core agent for IIS installer now includes Agent Explorer, a separate GUI application that provides high-level information about locally running .NET and .NET Framework agents. Use Agent Explorer to see high-level information such as:

    • Applications and servers that the agent reports

    • Agent configuration

    • Agent version, language, and runtime

    • List of applications that are currently deployed to IIS and/or IIS Express and instrumented.

Bug fixes:

  • Protect now reports the IP address of an attack in more scenarios.

  • Protect previously reported an untrusted-deserialization attack when the ASPNET RoleProvider feature deserialized a RolePrincipal object from an encrypted cookie value. This issue is now fixed. (DOTNET-4570)

Release date: September 27, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Input exclusions now have full regular expression support.

Release date: September 1, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Fixed a reported issue where the diagnostics executable would crash with the error, Contrast.AgentLib was not found.

Release date: August 29, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Agent upgrades would fail when an agent was installed with a custom data directory. This issue has been fixed. (DOTNET-4453)

  • Validated agent support for .NET Framework 4.8.1

Release date: August 8, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • The Agent Upgrade Service would only check for updates after restarting a second time, this has now been fixed. (DOTNET-4318)

Release date: August 1, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • On Windows Server 2012, the IIS installer will now warn users to install VC++ redistributable package necessary for the agent's upgrade service.

  • Diagnostic check-process now has limited support for 32-bit processes.

Bug fixes:

  • The agent would fail to clean up rolled over log files from native components. This has been fixed. (DOTNET-4314)

Release date: July 12, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Assess hsts-header-missing previously checked the presence and value of the strict-transport-security header for requests made over TLS only. The rule will now also check for the strict-transport-security header if the X-Forwarded-Proto header indicates the request was made over TLS but TLS was terminated before reaching the application.

  • Diagnostics now offers a read-config option that will report on the effective configuration of currently running instrumented applications on the server.

  • Improved the accuracy of Protect XXE detection, fixing a false negative.

  • Assess previously reported the usage of a weak hash algorithm within Microsoft's Application Insight's snapshot collector. This will no longer be reported. (DOTNET-4252)

Release date: June 28, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • The agent would fail to report agent initialization errors to Contrast. This has been fixed.

Release date: June 21, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Assess analysis would report an unvalidated-redirect when redirected to a string originating from HttpRequest.Path. The agent will now only report unvalidated-redirect if HttpRequest.Path does not start with a slash. (DOTNET-3950)

Release date: June 13, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Protect will now detect unsafe file uploads using Telerik's RadAsyncUpload control, effectively blocking exploits of CVE-2017-11317.

  • The agent did not send assess.tags with the "preflight" vulnerability check (but did send this information with the vulnerability report.) The agent now sends the expected information with both messages. (DOTNET-4157)

  • The agent can now repeatedly scan static files such as web.config and .aspx files for vulnerabilities by configuring agent.dotnet.file_analysis_time_ms. Previously the agent would scan these files at application startup. Note that re-deploying an application or modifying web.config will typically cause a new application instance to be created, replacing the older instance. Any static files in this new instance would automatically be scanned by Contrast.

    • When agent.dotnet.file_analysis_time_ms is set to a positive value, the agent will repeat the process of finding and analyzing all static files for an application on the interval specified.

Release date: May 26, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Added Assess sanitizers for mganss' HtmlSanitizer APIs. (DOTNET-4033)

  • Reduced the amount of memory used by the runtime for all libraries not instrumented by the agent. This has resulted in 5-10% reduction in process memory.

  • Agent's windows service will no longer generate system-info.yaml file in the agent's logs directory by default. Creation of this file can be enabled by setting agent.dotnet.enable_dvnr: true. (DOTNET-4147)

Release date: May 17, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved Assess taint tracking for validation methods.

  • Protect will now block more untrusted deserialization attacks using JavaScriptSerializer, including those associated with CVE-2019-18935.

Release date: May 10, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Improved accuracy of Assess URL character tracking to exclude the port number. (DOTNET-4093)

Release date: April 27, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Minor performance improvements to the cost of calling into Contrast sensors from instrumented code.

  • Added diagnostics check-access option to test that a Windows user has access to agent profiler and sensor components.

  • Improved cookie value parsing logic to avoid reporting that an invalid cookie is missing HttpOnly or secure flags.

Release date: April 14, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Added Assess verb-tampering rule.

Bug fixes:

  • Assess would report XSS when an application used WebForms' `__LASTFOCUS ` field. (DOTNET-3982)

  • Protect untrusted deserialization did not respect URL exclusions. (DOTNET-4019)

  • Assess would report header-injection against ASPNET MVC applications using the Web API 2 compatibility layer. (DOTNET-4015)

  • The agent installer would remove any profiling environment variables upon uninstall, which could disable other profiler-based products such as APM tools. The uninstaller will now only remove those environment variables if they are set to Contrast values (DOTNET-4025).

Release date: March 24, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Expanded APIs used to detect unvalidated redirect vulnerabilities under Assess.

  • Diagnostics validate-yaml will now validate application.metadata and application.session_metadata values follow expected format.

  • Added new deep-connect diagnostics command to help troubleshoot agent communication with Contrast.

Bug fixes:

  • Semantic Path Traversal attacks would be detected and blocked by the agent but failed to report to Contrast. (DOTNET-3978)

Release date: March 16, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Diagnostics cert-info command's validation of certificates now more closely matches the agent's HttpClient's certificate validation.

Bug fixes:

  • The Azure App Service Site Extension's XDT in version 50.0.7 included a bad transform that caused the App Service instance to crash. This has been fixed. (DOTNET-3983)

Release date: March 14, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved reporting of library class names to exclude compiler-generated types.

  • Added the Assess overly permissive cross domain policy rule.

  • Diagnostics config-keys will now provide descriptions for special Contrast environment variables that can be used to configure specific agent behavior (e.g., CONTRAST_CONFIG_PATH to set the path of the agent's configuration file.)

Bug fixes:

  • In some rare cases, the Azure App Service Site Extension could fail to cleanly upgrade because the agent's profiler component was locked. Agent components within the site extension are now housed in a version-specific directory. Note that users that have manually specified the path to agent components will need to update these paths. This should not be common as the Site Extension automatically sets the environment variables with the correct paths necessary to load the agent.

Release date: February 28, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Assess potential sanitizers and validators will now be automatically reported to Contrast by default.

  • The installed agent now enables profiler chaining by default.

Release date: February 10, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved performance by reducing cost of jumping from instrumented code to Contrast sensors.

  • Route discovery of .aspx and .asmx routes will no longer discover child application's routes for applications hosted in IIS.

Release date: January 25, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • The agent's sensors component did not respect a custom data directory set during install. (DOTNET-3739)

  • Diagnostics' system-info command failed to gather information about IIS application pools and applications. (DOTNET-3670)

Release date: January 11, 2022

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved performance of Assess and Protect analysis by reducing the cost of calling into Contrast code from instrumented code.

  • Improved performance of Assess analysis of application code with data flow within LINQ where clauses.

Bug fixes:

  • Fixed an issue where agent logs indicated an error due to a missing default configuration value. (DOTNET-3633)

  • Fixed an issue where the agent's Upgrade Service component could crash when instrumented by the Contrast .NET Core agent earlier than 2.1.0. Note that this would only occur if a user set global environment variables to add the Contrast .NET Core agent's profiler. (DOTNET-3689)

Release date: December 14, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The agent should only restart IIS during installation. Restarting the agent's background Windows service will no longer restart IIS. The agent can still be disabled by the enable: false configuration setting.

Release date: November 9, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved agent's ability to follow WCF message processing across multiple threads.

Release date: November 2, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Dependencies of the agent diagnostics tool (contrast-dotnet-diagnostics.exe) could be removed during the upgrade process and not installed, causing the diagnostics tool to immediately crash when run. This has been resolved.

  • Fixed an escalation of privilege issue where a low-privilege user could remove the agent's logs directory. This has been fixed.

  • This version moves the .NET Framework agent to semantic versioning. Semantic versioning started with version 50.0.0 in order to maintain the agent's auto-upgrade capability and clearly differentiate this release from the current calendar-based versioning scheme.

Bug fixes:

  • The installed .NET Framework agent's service did not respect server.path configuration. (DOTNET-3507)

Release date: July 12, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Reduced the amount of memory used by the agent's profiler component.

Bug fixes:

  • Agent did not respect URL-based exclusions for Assess response-based rules. (DOTNET-3161)

  • Agent could fail to initialize when it failed to inspect the main module of the current process. (DOTNET-3162)

Release date: July 22, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Tray now provides a link to the data directory specified at install time.

  • Further reduced memory usage of the agent's profiler component.

Release date: August 16, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The agent will no longer report weak hash algorithm used by the Azure Storage client SDK.

Release date: September 1, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Further reduced the amount of memory used by the agent's profiler component.

  • Reduced agent's overhead on each request.

Release date: September 22, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved detection of database connections of an unknown type (i.e., not SQL, ODBC, OleDB, MySQL, ...).

Important notes:

  • The Contrast .NET Framework agent will switch to use semantic versioning in a future version. Semantic versioning will start with version 50.0.0 in order to maintain the agent's auto-upgrade capability and clearly differentiate the future release from the current calendar-based versioning scheme.

Release date: October 6, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Fixed an escalation of privilege vulnerability in the agent's auto-upgrade feature by moving the .NET Framework agent to use the Agent Upgrade Service. The new Agent Upgrade Service does not suffer from this same vulnerability.

Important notes:

  • The .NET Framework agent now includes a separate Agent Upgrade Service that can be used to keep the .NET Framework and .NET Core agents up to date. Auto-upgrade has been removed from the agent itself. The Agent Upgrade Service downloads the latest .NET framework agent from the configured NuGet repository. The Agent Upgrade Service has a configuration file for each installed agent to control the behavior of upgrading each agent.

  • The next version of the .NET Framework agent will move to semantic versioning, starting with version 50.0.0.

Release date: October 21, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The agent will no longer log errors to the Windows Event Log when an application pool was excluded from instrumentation by application allow-list/deny-list.

  • Implemented Assess event limits to improve performance.

Release date: June 30, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Protect will no longer report semantic SQL findings on queries constructed safely using EF 6.

  • Profiler will now log all profiler settings, not just settings from the YAML file.

  • Profiler will no longer instrument diagnostics/powershell/powershell core.

  • Improved Assess coverage of APIs that return task.

Release date: June 22, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Protect will no longer report semantic SQL chaining on queries constructed safely using LINQ 2 SQL.

  • Protect will no longer report use of dangerous functions on queries constructed safely using Entity Framework.

Bug fixes:

  • Assess will no longer report untrusted deserialization against JsonNET JsonSerializerProxy. (DOTNET-3031)

  • Protect will no longer report untrusted deserialization within System.Web.Services.Protocols.SoapHttpClientProtocol..ctor().(DOTNET-3042)

Release date: June 14, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Protect false negative against model-binding inputs in ASP.NET MVC applications when Assess was disabled. (DOTNET-3026)

  • Protect false negative against post parameter inputs in ASP.NET Web Forms applications when Assess was disabled. (DOTNET-3036)

  • Assess false positive when using JsonSerializerProxy with Json.NET deserialization (DOTNET-3031)

Release date: June 10, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Protect semantic SQL Injection chaining will no longer report on safe queries generated by Entity Framework.

Bug fixes:

  • Agent did not send sessionId when reporting routes. (DOTNET-3021)

Release date: June 2, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved performance of calling into Contrast code from instrumented methods.

Release date: May 25, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • The agent would report a different route for discovery and observation of some ASPX pages with an inline class. (DOTNET-2928)

  • The agent would report untrusted deserialization when BinaryFormatter was used to copy an object with a string property set to untrusted data. (DOTNET-2905)

Release date: May 13, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Expanded Assess sql-injection coverage of NHibernate.

Release date: May 12, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • When instrumenting an application targeting .NET 4.0 through .NET 4.6.2, the agent will now report to Contrast via a separate application domain in order to support communication with Contrast over TLS 1.2.

  • Reduced memory used by agent to capture stack traces.

  • Improve performance of capturing repeated stack traces under Protect.

Bug fixes:

  • Agent could cause intermittent application crashes due to storing a reference to the ASP.NET HttpApplication and calling Dispose multiple times. (DOTNET-2902)

Release date: May 5, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Diagnostics check-process will now inspect logs in the logs directory specified by environment variable (if set).

  • Agent will now report agent errors to telemetry.

  • Agent now recognizes the HTML sanitization APIs from the AntiXSS library (previously the agent recognized the encoding methods primarily).

  • Agent now recognizes Path.GetFileName as a sanitizer for path-traversal.

  • Agent will no longer attempt to auto-upgrade if there is another install in progress on the server.

Bug fixes:

  • Agent could fail to identify Assess sources when inspecting a model bound object that mixed JObject type within a POCO type. (DOTNET-2810)

  • Library reporting could fail on obfuscated assemblies. (DOTNET-2846)

  • Agent reported sql-injection within the SQL query generation of Oracle.DataAccess assembly. (DOTNET-2842)

Release date: April 19, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved logging when both CLR and CoreCLR are in the same process.

  • Added telemetry for installer failures.

  • Improved instrumentation performance under CLR Instrumentation Engine (CIE).

  • Implemented Assess NoSQL Injection rule.

Bug fixes:

  • Fixed an error in parsing certain SQL queries in Protect semantic SQL rules. (DOTNET-2807)

Release date: April 13, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Agent initialization will now log the final resolved value for assess.enable and protect.enable.

  • Improved agent performance when using the Common Instrumentation Engine (CIE).

Bug fixes:

  • .NET Framework agent hangs on async tasks. (SUP-2667)

  • In some cases, the agent could report data from the same application for two servers with slightly different paths. (SUP-2700)

Release date: March 25, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved route discovery for Model View Controller (MVC).

  • Improved startup performance by removing XML serialization during startup.

Release date: March 15, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Fixed an Untrusted Deserialization false positive condition when running as OWIN self-hosted. (SUP-2613, SUP-2468)

  • Fixed the agent using excessive memory when registering routes with JSON.net. (SUP-2624)

Release date: March 10, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The agent’s profiler component will no longer keep its log file locked after deciding not to instrument a process.

  • Improved accuracy for async APIs under Assess.

  • Added support for server.path configuration.

  • The agent will now report the host of Web Service components.

  • The agent's background service (DotNetAgentService.exe) will now run under its own virtual service account.

  • The agent will now identify database components for applications using the Oracle database driver.

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Virtual patches for QueryString parameters do not work if the values contain structured data. (SUP-1763)

Release date: March 4, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • When attempting to upgrade the agent, the uninstall fails and rolls back creating a loop. (DOTNET-2685)

Release date: March 2, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved agent performance.

  • Improved Assess data propagation on async methods.

  • Improved Assess detection of unsafe cryptographic algorithms.

  • The agent will now report the verb and URL template for discovered routes for Web API, WCF, and ASMX applications.

Bug fixes:

  • Agent does not handle valid tls_versions configuration: tls|tls11|tls12 (DOTNET-2551)

Release date: February 10, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved application archiving capabilities. Once an application is archived in the Contrast web interface, the .NET Framework agent will be disabled without needing an IIS restart.

  • When auto-update is enabled, the installer will be placed in a secure directory and executed with elevated permissions.

Bug fixes:

  • False positive reported for path traversal when MVC internal code is used. (SUP-2403)

  • Different signatures for the same dataflow reports duplicate routes. (SUP-2345)

  • False positive reported when using XMLSerializer. (SUP-2361)

Release date: February 2, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Important note:

  • All agent configuration settings referring to the terms blacklist and whitelist have been changed to denylist and allowlist, respectively. For example, agent.dotnet.app_pool_whitelist is now agent.dotnet.app_pool_allowlist. The agent will continue to respect the old configuration names until August 2nd, 2022.

New and improved:

  • Added greater flexibility in how the agent can be configured. Applications within an application pool can be configured individually via their web.config or a contrast_security.yaml file in the root directory. There is an order of precedence where properties set for an application override those set at the server.

  • The .NET Contrast tray will now display the application name used by IIS until the application has been loaded. Any application name customizations will be reflected in the tray once the application has been loaded by IIS.

  • The agent's Windows service will now start, even if it is unable to communicate with Contrast.

  • The agent installer now has an option, enabled by default, to restrict access to the installed contrast_security.yaml file. The option can be disabled if needed at install time.

  • Protect will now mask sensitive data in the attack vector if enabled in the Contrast web interface.

Bug fixes:

  • Protect path traveral in monitoring mode will now report a path-traversal probe when an attack goes through a "path resolution API" such as Path.GetFullPath. (SUP-2190)

Release date: January 19, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Temporarily brought back legacy web.config settings.

Release date: January 13, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The .NET Framework auto-update feature will now verify that downloaded updates have a valid signature and are signed by Contrast.

Bug fixes:

  • When auto-update is enabled, the .NET agent doesn’t verify the signature of the newly downloaded installer.

  • When running with New Relic, the .NET agent runs into exceptions. (SUP-2318)

Release date: January 11, 2021

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Added checkpoints to ensure semantic SQL rules are not reported by the agent when the rule is disabled in the Contrast web interface.

  • Removed the agent.dotnet.enable_runtimeid_callbackhandler configuration setting.

Bug fixes:

  • Session-based auto-verification policies didn’t change vulnerability status in version 20.11.2. (SUP-2365)

  • Applications excluded from the allowlist continue to show on the agent’s tray. (SUP-1551)

  • Windows 10 machines running in German cause the .NET Framework agent installer for Windows to crash. (SUP-2279)

  • Fixed a path traversal false positive when running with MVC. (SUP-2265)

Release date: December 21, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Protect Semantic SQL Injection rules do not respect URL exclusions. (SUP-2325)

Release date: December 10, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Installer launches .NET Contrast tray with elevated user permissions. (DOTNET-2279)

Release date: December 1, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • .NET Framework agent has a problem on startup when an application specified a custom NLog configuration file. (SUP-2220)

Release date: November 16, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • The agent now reports names of classes used as part of enhanced library usage.

Bug fixes:

  • The agent was reporting misleading route observation predictions upon route discovery. (DOTNET-2227)

  • The agent fails to start when Contrast provided a syslog configuration with messages at "INFO" level. (DOTNET-2310)

  • Agent reported path traversal within the FriendlyUrls library's routing logic. (DOTNET-2311)

Release date: October 29, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Added support for route coverage of Web Site Projects (WSP).

  • Deprecated and removed CONTRAST__AGENT__DOTNET__CONTAINER. The configuration flag has no effect. All environments that required it, no longer require the flag to function.

  • Reduced the size of the Azure App Service Site Extension by removing diagnostics from the download. Diagnostics is still available for other deployment types.

  • XXE will now correctly be detected when running under OWIN in .NET Framework quirks mode.

Bug fixes:

  • Agent sensors logged a NullReferenceException when evaluating some instrumented methods for Assess XXE under OWIN-hosted applications. The null reference has been fixed. (DOTNET-2261)

  • The agent's background Windows service had to be restarted when Contrast configuration settings in web.config were changed. This issue has been fixed so that changes in web.config will automatically be detected and applied. (DOTNET-2254)

  • There was a race condition for IIS detection where the Contrast tray's IIS tab would sometimes not be displayed. This issue has been fixed. (DOTNET-2251)

Release date: October 8, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • File Analysis rules now report relative path for files.

Bug fixes:

  • Service crashes under .NET Framework 4.7.1 for users in 20.9.3. (DOTNET-2192)

  • SystemWeb OWIN Web API instrumentation results in duplicate events in response stream. (SUP-1917)

Release date: October 20, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Fixed PathToYaml installer option to support relative paths.

Bug fixes:

  • Found memory leak in correlation tasks. (SUP-2065)

Release date: September 30, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Improved accuracy by supporting Uri.Escape URL-encoding methods.

  • Agent can now discover WebForms Routes in pre-compiled applications.

Release date: September 17, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

New and improved:

  • Made the .NET Framework Contrast tray window resizable.

  • Improved ASMX route detection and handling of sources from deserialization.

Release date: September 3, 2020

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Telemetry is now enabled in the .NET Core agent in order to gather valuable data about the agent’s functionality. The data is all anonymous, no personal information is collected. New and improved:

  • Telemetry is now enabled in the .NET Framework agent in order to gather valuable data about the agent’s functionality. The data is all anonymous, no personal information is collected.

  • Azure Service Fabric is supported as a deployment type for the .NET Framework agent.

  • Cleaned up text in the Contrast tray.

Bug fixes:

  • .NET service restart causes IIS workers to fail to start. (SUP-1818)

  • There is a null reference in FileAnalysisEngine.FindVulnerabilities parameter.

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

Bug fixes:

  • Tray crashes on startup. (SUP-1891)

  • Agent fails to startup properly when application is archived. (SUP-1849)

Language versions currently supported: .NET Framework: 4.7.1, 4.7.2, 4.8

現在サポートされている言語バージョン: .NET Framework: 4.7.1, 4.7.2, 4.8

今月リリースされたエージェントのバージョン: 20.6.6, 20.7.2, 20.7.3, 20.7.4

New features and improvements:

  • Added connect to contrast-dotnet-diagnostics to test the agent’s ability to connect to Contrast.

  • Added config-keys to contrast-dotnet-diagnostics to display configuration options supported by the agent.

  • Added cert-info to contrast-dotnet-diagnostics to display information about the certificate provided by the value of the api.url configuration setting.

  • Improved the performance of Protect SQL-Injection detection.

  • Improved the performance of Protect against XML-based inputs.

  • Added validate-yaml to contrast-dotnet-diagnostics to verify the agent’s contrast-security.yaml configuration file.

重要なお知らせ:

  • The agent’s file analysis rules now execute within the context of the agent’s sensors component. These rules will now execute in Azure App Service and Docker deployments. Previously these rules only executed in the agent’s background Windows service component.

修正された不具合:

  • When a third-party profiler would be chained with Contrast, that profiler could instrument some internal Contrast methods which lead to some instability. This issue has been fixed now.

  • The agent could fail to properly observe some Web API 2 routes. This issue has been fixed now.

  • When an OWIN-based application was deployed to Azure App Service, the agent would cause an application error. This issue has been fixed.

  • When the agent’s background Windows service was shutting down it could sometimes harmlessly crash. This issue has been fixed.

現在サポートされている言語バージョン: .NET Framework: 4.7.1, 4.7.2, 4.8

今月リリースされたエージェントのバージョン: 20.6.1, 20.6.3, 20.6.4

New features and improvements:

  • Improved the Assess analysis used to identify SSRF vulnerabilities to reduce the number of false positives reported by the agent.

  • Improved the Protect analysis used to analyze user inputs for potential SQL injection attacks to improve accuracy and performance.

  • Added support for OWIN based-hosting and self-hosted Web API applications outside of IIS.

  • The agent will now clean up old logs in Azure App Service and Docker-based deployments.

  • Improved logging and reliability around the agent’s auto-upgrade process.

  • Improved performance of Protect XSS.

  • Added support for route-based coverage of WCF services using Unity interception.

修正された不具合:

  • When the agent would report vulnerabilities for four response-based Assess rules related to CSP and HSTS, the report would be rejected by Contrast due to missing information. The agent now sends all expected information for these rules.

  • When an instrumented application defined a type using a large number of nested generic types, the agent could cause a StackOverflow error. This has now been fixed.

  • When a user would disable multiple Protect rules through the ‘protect.disabled_rules’ setting in the yaml file, the agent would not respect this setting. The agent will now respect this configuration setting.

  • When the agent’s service would restart IIS with Contrast sensors on an overloaded server, the service could start receiving messages from those sensors before it was ready to handle them which lead to the sensors failing to initialize. This issue has been fixed now.

  • When a user would set up profiler chaining with AppDynamics in an Azure App Service environment, the AppDynamics profiler would fail to load. This has now been fixed.

現在サポートされている言語バージョン: .NET Framework: 4.7.1, 4.7.2, 4.8

今月リリースされたエージェントのバージョン: 20.5.1

New features and improvements:

  • Improved detection of dangerous path use in Protect; specifically, when interacting with the file system (path-traversal-semantic-dangerous-paths rule) and in arguments to OS commands (cmd-injection-semantic-dangerous-paths rule).

重要なお知らせ:

  • Beginning with this release, the minimum supported operating system is Windows Server 2012 and the minimum .NET Framework version is .NET 4.7.1.

  • The legacy .NET Framework agent maintains support for Windows Server 2008 and older .NET Framework versions. The legacy agent has all of the current features of the .NET Framework agent and receives critical bug fixes but otherwise will not be further developed.

修正された不具合:

  • When an application sent a request to the same URL as the current request, the agent would report an SSRF vulnerability. This is fixed now.

  • When the agent would report an xcontenttype-header-missing vulnerability, it was rejected due to missing information. The agent now sends all expected information for this vulnerability.

現在サポートされている言語バージョン: .NET Framework: 3.5, 4.0, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8

今月リリースされたエージェントのバージョン: 20.4.1, 20.4.2, 20.4.3

New features and improvements:

  • Improved handling of scenarios where the agent would write repeated errors to log files, creating larger than necessary log files.

  • The agent will now log unknown configuration keys at startup. This should help with troubleshooting configuration issues (for example, invalid yaml).

重要なお知らせ:

  • The agent’s auto-update feature will no longer update the agent when running on Windows Server 2008 or servers with .NET Framework 4.7.0 or older. This change is in preparation for the upcoming fork of the Contrast .NET Framework agent. See below for more details.

  • The next release of the .NET Framework agent will raise the minimum supported operating system to Windows Server 2012 and raise the minimum .NET Framework version to .NET 4.7.1. Support for Windows Server 2008 and older versions of the .NET Framework will be maintained via a fully featured legacy .NET Framework agent. This legacy agent will have all of the current features of the .NET Framework agent and will receive critical bug fixes but otherwise will not be the focus for future .NET development.

修正された不具合:

  • When an application hosted on IIS was (mis)configured without a virtual path, the agent’s background Windows service would crash. The agent’s background Windows service now properly handles this configuration.

  • A race condition around requests for configuration values that did not have default values could lead to a crash of the agent’s background Windows service. The race condition has been fixed, default configuration values have been provided for all configuration options, and missing default configuration values are now properly handled.