Node.jsエージェントのリリース情報 2023年
リリース日: 2023年12月20日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
修正された不具合:
バージョン4における
X-XSS-Protectionが無効なレスポンスルールで報告される内容を修正しました。(NODE-3174)
リリース日: 2023年11月29日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
修正された不具合:
String.prototype.splitにおける「TypeError: Cannot read property 'length' of undefined 」のエラーを修正しました。(NODE-3272)
リリース日: 2023年11月28日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
新機能と改善点:
i18nで使用される全てのfsメソッドで、stackTrustedLibsポリシーを更新しました。
リリース日: 2023年11月22日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
新機能と改善点:
i18nライブラリに関して、パストラバーサルの脆弱性(Assess)を報告しないようにしました。i18nライブラリに関して、openSyncが呼び出されてもパストラバーサルを報告しないようにしました。
リリース日: 2023年11月20日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
新機能と改善点:
QueryBuilderサブクラスに、sql-encodedプロパゲータとしてパッチを当てた関連メソッドが含まれるようになりました。i18nライブラリに関して、パストラバーサルの脆弱性(Assess)を報告しないようにしました。
リリース日: 2023年11月16日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
新機能と改善点:
CVE-2023-45857(XSRF-TOKEN値が許可されていない第三者に公開される)に対して、Axiosのバージョンを1.6.0に上げました。
リリース日: 2023年10月27日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
新機能と改善点:
Speedracerのバージョンを2.28.33に上げました。
リリース日: 2023年10月18日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
新機能と改善点:
特別に細工された悪意のあるコードをコンパイルすると、任意のコードが実行される可能性があるBabelの脆弱性(CVE-2023-45133 )に対応。
リリース日: 2023年9月13日
現在サポートしている言語バージョン:12、14、16、18、20 LTS
新機能と改善点:
Node.js 20.5.0以降のサポートを追加しました。
リリース日: 2023年9月8日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
FastifyでSwaggerを実行する際の問題を、コードのハードニングを行うことで修正しました。(NODE-3156)
リリース日: 2023年8月10日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
リクエストの失敗の原因となっていたTypeError
ERR_INVALID_URLを修正しました。(NODE-3131)
リリース日: 2023年8月8日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
非同期のコンテキストを保持するために
RedisClientメソッドを修正しました。(NODE-3106)
リリース日: 2023年8月7日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
このリリースから、最新のGo標準ライブラリでコンパイルされた新しいContrast Serviceのアーティファクトv2.28.32が含まれるようになりました。
リリース日: 2023年7月13日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Speedracer(解析エンジン)のバージョンを2.28.29に上げ、新しいバージョン4のエージェントをリリースしました。
リリース日: 2023年7月12日
現在サポートしている言語バージョン:12、14、16、18 LTS
CVE対策:
CVE-2022-25883に対し
@contrast/agentv4のfind-cache-dirライブラリを置き換えました。(NODE-3078)
リリース日: 2023年7月11日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2022-25883に対し、cls-hookedの依存関係の
semverを更新しました 。cls-hookedの依存関係で
semverの脆弱なバージョンがnpm auditで報告されていませんでした。
リリース日: 2023年7月7日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2022-25883に対し
semverのバージョンを7.3.8から7.5.3に上げました。(require-hook)
修正された不具合:
バージョン4のNodeエージェントが/etc/contrast/node/ディレクトリからYAML設定ファイルを読み込むように修正しました。(NODE-3058)
リリース日: 2023年6月26日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2022-25883に対し
semverのバージョンを7.3.4から7.5.2に上げました。
リリース日:2023年6月9日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
エージェントにバンドルされているContrastサービスを最新のGo標準ライブラリ(バージョン1.20.5)を使用するように更新しました。
リリース日: 2023 年6月6日
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
npm auditでフラグが立たないように、モックの依存関係をいくつか調整しました。
リリース日: 2023 年5月30日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
CEFログ出力をContrastの共通設定仕様書(v4)で定義されたレベルに更新しました。(NODE-2972)
エージェントが環境変数
CONTRAST_CONFIG_PATHを認識しない問題。
リリース日: 2023年5月17日
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
Windows版Node.jsのAssessで
TypeError: result.startsWith is not a functionエラーとなる問題。(SUP-4799)
リリース日: May 3, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Bundled the latest SpeedRacer 2.28.27 with the v4 agent.
リリース日: April 25, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2023-2251 node-agent: Bump YAML.
リリース日: April 19, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2023-24538 Bump SpeedRacer to v 2.28.26 for v4.
修正された不具合:
Fixed the RegExp for detecting XXE vulnerabilities in Protect mode. (NODE-2887)
リリース日: April 14, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
CVE-2023-0842 (DevDependency) - xml2js is vulnerable to prototype pollution.
CVE-2019-10790 (DevDependency) - TaffyDB in jsdoc.
修正された不具合:
Fix bugs in csp-header-insecure rule for both v4 and v5. (NODE-2971)
リリース日: April 14, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
Fixed issue with Fastify XSS payload check. (NODE-2974)
リリース日: April 5, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
Implemented improved logging.The agent does not rewrite all files at start-up. (NODE-2944)
リリース日: April 3, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Bump SpeedRacer to 2.28.25.
リリース日: March 16, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
New config option for conditional running the agent when called through
NODE_OPTIONS.
リリース日: March 14, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Bump SpeedRacer for v4
Improved log message for node version compatibility
CVE-2023-22578 (DevDependency) - Sequelize - Default support for “raw attributes” when using parentheses
Enhancements to logging surrounding errors when starting the agent
修正された不具合:
Fixed Hapi implementation for
reflected-xssdetection. (NODE-2757)Fixed Fastify implementation for
reflected-xssdetection. (NODE-2756)Added hardening to
getAllParentsmethod. (NODE-2931)
リリース日: February 27, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Improved support for
Experss.static(). (SUP-4451)Improved support for XXS detection when using the Fastify framework.
Improved logging surrounding errors when starting the agent.
リリース日:January 31, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Instrumented the
serve-staticmodule to act as a custom sanitizer.
リリース日: January 20, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
修正された不具合:
Config-diagnostics fails to create a configuration file if the logger path refers to a file descriptor.
リリース日: January 17, 2023
現在サポートしている言語バージョン:12、14、16、18 LTS
新機能と改善点:
Included the docker container ID in the system-info.json when running system-diagnostics.
CVE-2022-46175 node-agent Prototype Pollution in JSON5 via Parse Method.
修正された不具合:
Prevent crashing when the req is undefined. (NODE-2867)
リリース日:2024年1月2日
現在サポートしている言語バージョン:仕様一覧を確認してください。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
新機能と改善点:
CVE-2023-45857に対してAxiosを更新しました。
各コンポーネントで単独のイベントエミッターを使用するようにしました。
koa-multerをAssessのデータフローソースとして実装しました。レスポンスをスキャンするルールをさらに追加しました。
/tracesデータがContrastサーバに送信される際に、新しいstandardNormalizedUriフィールドが正しく設定されるようになりました。暗号化関連のAssessルール(安全ではないハッシュアルゴリズム、安全ではない暗号化アルゴリズム、脆弱な乱数生成)を実装しました。
バージョン5で
ejs.Template.prototype.generateSourceのプロパゲータを実装しました。バージョン5のエージェントでテレメトリが報告されるようになりました。テレメトリを無効にする設定は遵守されます。
修正された不具合:
「TypeError: Cannot read properties of undefined (reading 'path')」のエラーを修正しました。(NODE-3292)
Protectの
NoSQLインジェクションの報告を修正しました。(NODE-3216)
リリース日: 2023年11月28日
現在サポートしている言語バージョン:仕様一覧を確認してください。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
新機能と改善点:
util.formatのプロパゲータを実装しました。信頼できないデータのデシリアライゼーションルールのサポートを追加しました。QueryBuilderサブクラスに、sql-encodedプロパゲータとしてパッチを当てた関連メソッドが含まれるようになりました。
リリース日: 2023年11月16日
現在サポートしている言語バージョン:仕様一覧を確認してください。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
新機能と改善点:
以下のプロパゲータを実装しました。
path.toNamespacedPathpath.extnamepath.parsepath.formatquerystring.stringify
いくつかのエスケープメソッドに対してプロパゲータを実装しました。
リクエストレスポンスの測定値をDEBUGレベルでログに出力するようにしました。
修正された不具合:
Distrolessコンテナを使用しているアプリケーションがアプリケーション/エージェントによってクラッシュし、ログにも出力されない、という問題を修正しました。(NODE-3225)
アプリケーションの起動で、Contrast Webインターフェイスからのサーバ設定値がエージェントの有効な設定値として使用されていなかった問題を修正しました。 (NODE-3243)
リリース日: 2023年10月31日
現在サポートしている言語バージョン:仕様一覧を確認してください。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
新機能と改善点:
バージョン5での「X-XSS-Protectionが無効なレスポンス」(
xxssprotecttion-header-disabled)ルールにおけるContrastサーバからの報告の問題を修正しました。
修正された不具合:
JSON.parseプロパゲータがNULLまたは空の文字列で呼び出されると、trackerのエラーが発生していました。 (NODE-3230)
リリース日: 2023年10月26日
現在サポートしている言語バージョン:仕様一覧を確認してください。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
新機能と改善点:
path.relativeのプロパゲータを実装しました。path.dirnameのプロパゲータを実装しました。Assessの
XML外部実体参照(XXE)ルールのサポートを追加しました。
修正された不具合:
Koaアプリケーションで、ルート検出が2回報告される問題を修正しました。(NODE-3199)
AssessまたはProtectがローカルで有効にされていない場合に、アプリケーションがオンボードできない問題を修正しました。(NODE-3221)
Docker版の
juice-shopでnpmが見つからない場合に実行に失敗する問題を修正しました。 (NODE-3223)
リリース日: 2023年10月19日
現在サポートしている言語バージョン:仕様一覧を確認してください。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
新機能と改善点:
Contrastの通信のトラブルシューティングのためにログ出力を改善しました。
ヒープダンプのスナップショットをキャプチャするためのより分かりやすい仕組みを実装しました。
juice-shopの検出結果をエージェントが誤って報告していた箇所を修正しました。
リリース日: 2023年10月8日
現在サポートしている言語バージョン:仕様一覧を確認してください。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
新機能と改善点:
serverTypeパスパラメータの構築時にv1エンドポイントが設定オプションを受け入れるようにしました。JoiのBoolean値および数値の型強制メソッドの計測を実装しました。
Joiのvaluesメソッド(
.allow()、.valid()、.equal())の計測を実装しました。Joiのタイプ(
object、expression、any)の計測を実装しました。evalシンクのコンテキストがeval(...)として報告されるようにして、Contrastメソッドのテキストが含まれないようにしました。追跡を行う全ての呼び出しの前で、イベントが正常に作成されたかどうかをチェックするようにしました。
修正された不具合:
エージェントの有効な設定が一度しか更新されていなかった問題を修正しました。(NODE-3204)
Assess実行時のメモリリークに関連する問題を修正しました。(NODE-3198)
リリース日: 2023年10月8日
現在サポートしている言語バージョン:仕様一覧表を確認してください。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
新機能と改善点:
エージェントの有効な設定でローカルポリシーを管理するために、全てのコンポーネントを更新しました。
全ての文字列操作とArray.prototype.joinメソッドの使用をリファクタリングしました。
修正された不具合:
ファイルが安全な方法で
serve-staticを使用して提供される場合に、エージェントがパストラバーサルを報告していませんでした。(NODE-3157)
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
リリース日: 2023年9月15日
現在サポートしている言語バージョン:仕様一覧を確認してください。
新機能と改善点:
Node.js 20.5.0以降のサポートを追加しました。
express-sessionのセッション設定ルールを実装しました。URLSearchParamsに渡されるキーを追跡して、異なるオブジェクトタイプを解析するようにしました。require-hookのログ出力を改善しました。
重要
このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。
リリース日: 2023年9月1日
現在サポートしている言語バージョンとテクノロジ:仕様一覧を確認してください。
新機能と改善点:
Contrastサービス(SpeedRacer)の削除
エージェントを設定するためのコマンドラインオプションの削除。Python、Ruby、Goエージェントに合わせて、YAMLと環境変数のみをサポート。
Contrast AssessとContrast Protectの同時実行のサポート
Contrast Protect実行時のライブラリの使用状況(ECU/ELU)に関する報告(本番環境でのライブラリの報告)
Contrastサーバへの有効な設定の報告
devDependenciesを
npmに公開しない - CVE検出の過検知の減少pinoを使用した構造化ログ重複排除のために正規化されたURIを使用したルート観測/カバレッジ
SWC使用した起動時のリライタの高速化
SuperTest npm: supertestを使用するAPIテスト時の脆弱性検出のサポート
String.prototype.matchAll()のプロパゲータのサポート(バージョン4では未サポート)
リリース日:2024年1月2日
現在サポートしている言語バージョン:14、16、18、20 LTS
新機能と改善点:
CVE-2023-45857に対してAxiosを更新しました。
各コンポーネントで単独のイベントエミッターを使用するようにしました。
セキュリティのログ出力で
path: /dev/nullに対応し、サポート対象の全てのオペレーティングシステムでログを無効にできるようになりました。バージョン5のエージェントでテレメトリが報告されるようになりました。テレメトリを無効にする設定は遵守されます。
修正された不具合:
「TypeError: Cannot read properties of undefined (reading 'path')」のエラーを修正しました。(NODE-3292)
Protectの
NoSQLインジェクションの報告を修正しました。(NODE-3216)vmモジュールでのエージェントの組込みを修正しました。 (NODE-3004)
リリース日: 2023年11月16日
現在サポートしている言語バージョン:14、16、18、20 LTS
新機能と改善点:
リクエストレスポンスの測定値をDEBUGレベルでログに出力するようにしました。
修正された不具合:
Distrolessコンテナを使用しているアプリケーションがアプリケーション/エージェントによってクラッシュし、ログにも出力されない、という問題を修正しました。(NODE-3225)
アプリケーションの起動で、Contrast Webインターフェイスからのサーバ設定値がエージェントの有効な設定値として使用されていなかった問題を修正しました。 (NODE-3243)
リリース日: 2023年10月8日
現在サポートしている言語バージョン:14、16、18、20 LTS
新機能と改善点:
再起動の必要なく、ContrastサーバでProtectポリシーとログレベルを変更できるようにしました。
リリース日: 2023年9月15日
現在サポートしている言語バージョン:14、16、18、20 LTS
新機能と改善点:
ログ出力の使用を監査し、PIIのログを記録しているインスタンスを修正しました。
リリース日: 2023年8月25日
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
AssessとProtectの実装が異なる場合の同期。
Contrastサーバの通信にHTTPログを追加。
修正された不具合:
ContrastMethods.Functionを組み込み、既存のProtect入力追跡パッチをサポートするようリライタを更新しました。(NODE-3100)effective-configエンドポイントに関するエージェントバージョン5の問題を修正しました。(NODE-3151)
リリース日: 2023年8月7日
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
JSON.parseにプロパゲータを実装しました。
セッション設定に関連するAssess仕様のルールを実装しました。
libxmljsライブラリの新しいメジャーバージョン(v 1.x.x.)のサポートを追加しました。このライブラリは、XML外部実体参照(XXE)の脆弱性を検出するために組み込まれます。
修正された不具合:
libxmljsが適切に組み込まれていなかった問題を修正しました。(NODE-3121)
リリース日: 2023年8月4日
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
末尾に誤った文字を追加しないようにリライタを修正しました。
shebangコメントのあるファイルを変換できるようswcリライタを改善しました。
リリース日: 2023年7月14日
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
MongoDBのコンテキストで
sleep(x)のような呼び出しのSSJSの攻撃を検出するように対応しました。有効な設定オプションに
session_idを追加しました。
リリース日: May 2, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Added support for the MS SQL database driver for v5 Protect-only agent.
リリース日: April 3, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Added support for detecting
nosql-injectionattacks for MarsDB in Protect mode.
リリース日: February 20, 2023
現在サポートしている言語バージョン:14、16、18 LTS
修正された不具合:
Fixed a bug when receiving the
nosql-injectionrule settings from Contrast and the agent not respecting that setting.
リリース日: February 9, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
security_loggerreceives the correct default values.
リリース日: February 9, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
NoSQL Injection Mongo - added support for
$accumulatoroperator.The RegExp now detects a vulnerable string with single and double quotes around the URI of the targeted file.
Bumped agent-lib version in Node agent v5 to v5.3.0.
リリース日:January 31, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
NoSQL Injection Mongo - added support for
$functionoperator.Migrated shared hooks to instrumentation layer: http, https, http2, spdy.
Reduced code duplication in existing Protect hooks.
CVE-2022-46175 node-require-hook Prototype Pollution in JSON5 via Parse Method.
修正された不具合:
NODE_OPTIONSenvrionment forpinoworker-thread does not get cleared of--require @contrast/.... (NODE-2882)
リリース日: January 17, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Provided npx command to config-diagnostics and output results.
修正された不具合:
Fixed issue where
@contrast/protect-agentdoes not install. (NODE-2803)
リリース日: January 10, 2023
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
CVE-2022-46175 Prototype Pollution in JSON5 via Parse Method.
Internal Protect data structure changes.
リリース日: December 8, 2022
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Performance improvement for capturing stack traces. (NODE 2760)
リリース日: December 5, 2022
現在サポートしている言語バージョン:14、16、18 LTS
新機能と改善点:
Contrast Security Node.js Protect-only Agent.See npm: @contrast/protect-agent