Node.jsエージェントのリリース情報
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
リリース日: 2023年9月15日
現在サポートしている言語バージョン:仕様一覧を確認してください。
新機能と改善点:
Node.js 20.5.0以降のサポートを追加しました。
express-sessionのセッション設定ルールを実装しました。URLSearchParamsに渡されるキーを追跡して、異なるオブジェクトタイプを解析するようにしました。require-hookのログ出力を改善しました。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
リリース日: 2023年9月1日
現在サポートしている言語バージョンとテクノロジ:仕様一覧を確認してください。
新機能と改善点:
Contrastサービス(SpeedRacer)の削除
エージェントを設定するためのコマンドラインオプションの削除。Python、Ruby、Goエージェントに合わせて、YAMLと環境変数のみをサポート。
Contrast AssessとContrast Protectの同時実行のサポート
Contrast Protect実行時のライブラリの使用状況(ECU/ELU)に関する報告(本番環境でのライブラリの報告)
Contrastサーバへの有効な設定の報告
devDependenciesを
npmに公開しない - CVE検出の過検知の減少pinoを使用した構造化ログ重複排除のために正規化されたURIを使用したルート観測/カバレッジ
SWC使用した起動時のリライタの高速化
SuperTest npm: supertestを使用するAPIテスト時の脆弱性検出のサポート
String.prototype.matchAll()のプロパゲータのサポート(バージョン4では未サポート)
リリース日: 2023年9月15日
現在サポートしている言語バージョン:14、16、18、20 LTS
新機能と改善点:
ログ出力の使用を監査し、PIIのログを記録しているインスタンスを修正しました。
リリース日: 2023年8月25日
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
AssessとProtectの実装が異なる場合の同期。
Contrastサーバの通信にHTTPログを追加。
修正された不具合:
ContrastMethods.Functionを組み込み、既存のProtect入力追跡パッチをサポートするようリライタを更新しました。(NODE-3100)effective-configエンドポイントに関するエージェントバージョン5の問題を修正しました。(NODE-3151)
リリース日: 2023年8月7日
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
JSON.parseにプロパゲータを実装しました。
セッション設定に関連するAssess仕様のルールを実装しました。
libxmljsライブラリの新しいメジャーバージョン(v 1.x.x.)のサポートを追加しました。このライブラリは、XML外部実体参照(XXE)の脆弱性を検出するために組み込まれます。
修正された不具合:
libxmljsが適切に組み込まれていなかった問題を修正しました。(NODE-3121)
リリース日: 2023年8月4日
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
末尾に誤った文字を追加しないようにリライタを修正しました。
shebangコメントのあるファイルを変換できるようswcリライタを改善しました。
リリース日: 2023年7月14日
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
MongoDBのコンテキストで
sleep(x)のような呼び出しのSSJSの攻撃を検出するように対応しました。有効な設定オプションに
session_idを追加しました。
リリース日: May 2, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Added support for the MS SQL database driver for v5 Protect-only agent.
リリース日: April 3, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Added support for detecting
nosql-injectionattacks for MarsDB in Protect mode.
リリース日: February 20, 2023
現在サポートしている言語バージョン:14、16、18 LTS
修正された不具合:
This release fixed a bug when receiving the
nosql-injectionrule settings from Contrast and the agent not respecting that setting.
リリース日: February 9, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
security_loggeris getting the correct default values.
リリース日: February 9, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
NoSQL Injection Mongo - added support for
$accumulatoroperator.The RegExp now detects a vulnerable string with single and double quotes around the URI of the targeted file.
Bumped agent-lib version in Node agent v5 to v5.3.0.
リリース日:January 31, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
NoSQL Injection Mongo - added support for
$functionoperator.Migrated shared hooks to instrumentation layer: http, https, http2, spdy.
Reduced code duplication in existing Protect hooks.
CVE-2022-46175 node-require-hook Prototype Pollution in JSON5 via Parse Method.
修正された不具合:
NODE_OPTIONSenvrionment forpinoworker-thread does not get cleared of--require @contrast/.... (NODE-2882)
リリース日: January 17, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Provided npx command to config-diagnostics and output results.
修正された不具合:
Fixed issue where
@contrast/protect-agentdoes not install. (NODE-2803)
リリース日: January 10, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
CVE-2022-46175 Prototype Pollution in JSON5 via Parse Method.
Internal Protect data structure changes.
リリース日: December 8, 2022
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Performance improvement for capturing stack traces. (NODE 2760)
リリース日: December 5, 2022
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Contrast Security Node.js Protect-only Agent.See npm: @contrast/protect-agent
リリース日: 2023年9月13日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
新機能と改善点:
Node.js 20.5.0以降のサポートを追加しました。
リリース日: 2023年9月8日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
FastifyでSwaggerを実行する際の問題を、コードのハードニングを行うことで修正しました。(NODE-3156)
リリース日: 2023年8月10日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
リクエストの失敗の原因となっていたTypeError
ERR_INVALID_URLを修正しました。(NODE-3131)
リリース日: 2023年8月8日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
非同期のコンテキストを保持するために
RedisClientメソッドを修正しました。(NODE-3106)
リリース日: 2023年8月7日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
このリリースから、最新のGo標準ライブラリでコンパイルされた新しいContrast Serviceのアーティファクトv2.28.32が含まれるようになりました。
リリース日: 2023年7月13日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Speedracer(解析エンジン)のバージョンを2.28.29に上げ、新しいバージョン4のエージェントをリリースしました。
リリース日: 2023年7月12日
現在サポートしている言語バージョン:12、14、16、18 LTS
CVE対策:
CVE-2022-25883に対し
@contrast/agentv4のfind-cache-dirライブラリを置き換えました。(NODE-3078)
リリース日: 2023年7月11日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2022-25883に対し、cls-hookedの依存関係の
semverを更新しました 。cls-hookedの依存関係で
semverの脆弱なバージョンがnpm auditで報告されていませんでした。
リリース日: 2023年7月7日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2022-25883に対し
semverのバージョンを7.3.8から7.5.3に上げました。(require-hook)
修正された不具合:
バージョン4のNodeエージェントが/etc/contrast/node/ディレクトリからYAML設定ファイルを読み込むように修正しました。(NODE-3058)
リリース日: 2023年6月26日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2022-25883に対し
semverのバージョンを7.3.4から7.5.2に上げました。
リリース日:2023年6月9日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
エージェントにバンドルされているContrastサービスを最新のGo標準ライブラリ(バージョン1.20.5)を使用するように更新しました。
リリース日: 2023 年6月6日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
npm auditでフラグが立たないように、モックの依存関係をいくつか調整しました。
リリース日: 2023 年5月30日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
CEFログ出力をContrastの共通設定仕様書(v4)で定義されたレベルに更新しました。(NODE-2972)
エージェントが環境変数
CONTRAST_CONFIG_PATHを認識しない問題。
リリース日: 2023年5月17日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
Windows版Node.jsのAssessで
TypeError: result.startsWith is not a functionエラーとなる問題。(SUP-4799)
リリース日: May 3, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Bundled the latest SpeedRacer 2.28.27 with the v4 agent.
リリース日: April 25, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2023-2251 node-agent: Bump YAML.
リリース日: April 19, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2023-24538 Bump SpeedRacer to v 2.28.26 for v4.
修正された不具合:
Fixed the RegExp for detecting XXE vulnerabilities in Protect mode. (NODE-2887)
リリース日: April 14, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2023-0842 (DevDependency) - xml2js is vulnerable to prototype pollution.
CVE-2019-10790 (DevDependency) - TaffyDB in jsdoc.
修正された不具合:
Fix bugs in csp-header-insecure rule for both v4 and v5. (NODE-2971)
リリース日: April 14, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
Fixed issue with Fastify XSS payload check. (NODE-2974)
リリース日: April 5, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
Implemented improved logging.The agent does not rewrite all files at start-up. (NODE-2944)
リリース日: April 3, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Bump SpeedRacer to 2.28.25.
リリース日: March 16, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
New config option for conditional running the agent when called through
NODE_OPTIONS.
リリース日: March 14, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Bump SpeedRacer for v4
Improved log message for node version compatibility
CVE-2023-22578 (DevDependency) - Sequelize - Default support for “raw attributes” when using parentheses
Enhancements to logging surrounding errors when starting the agent
修正された不具合:
Fixed Hapi implementation for
reflected-xssdetection. (NODE-2757)Fixed Fastify implementation for
reflected-xssdetection. (NODE-2756)Added hardening to
getAllParentsmethod. (NODE-2931)
リリース日: February 27, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Improved support for
Experss.static(). (SUP-4451)Improved support for XXS detection when using the Fastify framework.
Improved logging surrounding errors when starting the agent.
リリース日:January 31, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Instrumented the
serve-staticmodule to act as a custom sanitizer.
リリース日: January 20, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
Config-diagnostics fails to create a configuration file if the logger path refers to a file descriptor.
リリース日: January 17, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Included the docker container ID in the system-info.json when running system-diagnostics.
CVE-2022-46175 node-agent Prototype Pollution in JSON5 via Parse Method.
修正された不具合:
Prevent crashing when the req is undefined. (NODE-2867)