Skip to main content

Node.jsエージェントのリリース情報 2023年

リリース日: 2023年12月20日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

修正された不具合:

  • バージョン4におけるX-XSS-Protectionが無効なレスポンスルールで報告される内容を修正しました。(NODE-3174)

リリース日: 2023年11月29日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

修正された不具合:

  • String.prototype.splitにおける「TypeError: Cannot read property 'length' of undefined 」のエラーを修正しました。(NODE-3272)

リリース日: 2023年11月28日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

新機能と改善点:

  • i18nで使用される全てのfsメソッドで、stackTrustedLibsポリシーを更新しました。

リリース日: 2023年11月22日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

新機能と改善点:

  • i18nライブラリに関して、パストラバーサルの脆弱性(Assess)を報告しないようにしました。

  • i18nライブラリに関して、openSyncが呼び出されてもパストラバーサルを報告しないようにしました。

リリース日: 2023年11月20日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

新機能と改善点:

  • QueryBuilder サブクラスに、 sql-encodedプロパゲータとしてパッチを当てた関連メソッドが含まれるようになりました。

  • i18nライブラリに関して、パストラバーサルの脆弱性(Assess)を報告しないようにしました。

リリース日: 2023年11月16日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

新機能と改善点:

  • CVE-2023-45857(XSRF-TOKEN値が許可されていない第三者に公開される)に対して、Axiosのバージョンを1.6.0に上げました。

リリース日: 2023年10月27日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

新機能と改善点:

  • Speedracerのバージョンを2.28.33に上げました。

リリース日: 2023年10月18日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

新機能と改善点:

  • 特別に細工された悪意のあるコードをコンパイルすると、任意のコードが実行される可能性があるBabelの脆弱性(CVE-2023-45133 )に対応。

リリース日: 2023年9月13日

現在サポートしている言語バージョン:12、14、16、18、20 LTS

新機能と改善点:

  • Node.js 20.5.0以降のサポートを追加しました。

リリース日: 2023年9月8日

現在サポートしている言語バージョン:12、14、16、18 LTS

修正された不具合:

  • FastifyでSwaggerを実行する際の問題を、コードのハードニングを行うことで修正しました。(NODE-3156)

リリース日: 2023年8月10日

現在サポートしている言語バージョン:12、14、16、18 LTS

修正された不具合:

  • リクエストの失敗の原因となっていたTypeError ERR_INVALID_URLを修正しました。(NODE-3131)

リリース日: 2023年8月8日

現在サポートしている言語バージョン:12、14、16、18 LTS

修正された不具合:

  • 非同期のコンテキストを保持するためにRedisClientメソッドを修正しました。(NODE-3106)

リリース日: 2023年8月7日

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • このリリースから、最新のGo標準ライブラリでコンパイルされた新しいContrast Serviceのアーティファクトv2.28.32が含まれるようになりました。

リリース日: 2023年7月13日

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • Speedracer(解析エンジン)のバージョンを2.28.29に上げ、新しいバージョン4のエージェントをリリースしました。

リリース日: 2023年7月12日

現在サポートしている言語バージョン:12、14、16、18 LTS

CVE対策:

  • CVE-2022-25883に対し@contrast/agent v4のfind-cache-dirライブラリを置き換えました。(NODE-3078)

リリース日: 2023年7月11日

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • CVE-2022-25883に対し、cls-hookedの依存関係のsemverを更新しました 。

  • cls-hookedの依存関係でsemverの脆弱なバージョンがnpm auditで報告されていませんでした。

リリース日: 2023年7月7日

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • CVE-2022-25883に対しsemverのバージョンを7.3.8から7.5.3に上げました。(require-hook)

修正された不具合:

  • バージョン4のNodeエージェントが/etc/contrast/node/ディレクトリからYAML設定ファイルを読み込むように修正しました。(NODE-3058)

リリース日: 2023年6月26日

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • CVE-2022-25883に対しsemverのバージョンを7.3.4から7.5.2に上げました。

リリース日:2023年6月9日

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • エージェントにバンドルされているContrastサービスを最新のGo標準ライブラリ(バージョン1.20.5)を使用するように更新しました。

リリース日: 2023 年6月6日

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • npm auditでフラグが立たないように、モックの依存関係をいくつか調整しました。

リリース日: 2023 年5月30日

現在サポートしている言語バージョン:12、14、16、18 LTS

修正された不具合:

  • CEFログ出力をContrastの共通設定仕様書(v4)で定義されたレベルに更新しました。(NODE-2972)

  • エージェントが環境変数CONTRAST_CONFIG_PATHを認識しない問題。

リリース日: 2023年5月17日

現在サポートしている言語バージョン:12、14、16、18 LTS

修正された不具合:

  • Windows版Node.jsのAssessでTypeError: result.startsWith is not a functionエラーとなる問題。(SUP-4799)

リリース日: May 3, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • Bundled the latest SpeedRacer 2.28.27 with the v4 agent.

リリース日: April 25, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • CVE-2023-2251 node-agent: Bump YAML.

リリース日: April 19, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • CVE-2023-24538 Bump SpeedRacer to v 2.28.26 for v4.

修正された不具合:

  • Fixed the RegExp for detecting XXE vulnerabilities in Protect mode. (NODE-2887)

リリース日: April 14, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • CVE-2023-0842 (DevDependency) - xml2js is vulnerable to prototype pollution.

  • CVE-2019-10790 (DevDependency) - TaffyDB in jsdoc.

修正された不具合:

  • Fix bugs in csp-header-insecure rule for both v4 and v5. (NODE-2971)

リリース日: April 14, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

修正された不具合:

  • Fixed issue with Fastify XSS payload check. (NODE-2974)

リリース日: April 5, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

修正された不具合:

  • Implemented improved logging.The agent does not rewrite all files at start-up. (NODE-2944)

リリース日: April 3, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • Bump SpeedRacer to 2.28.25.

リリース日: March 16, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • New config option for conditional running the agent when called through NODE_OPTIONS.

リリース日: March 14, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • Bump SpeedRacer for v4

  • Improved log message for node version compatibility

  • CVE-2023-22578 (DevDependency) - Sequelize - Default support for “raw attributes” when using parentheses

  • Enhancements to logging surrounding errors when starting the agent

修正された不具合:

  • Fixed Hapi implementation for reflected-xss detection. (NODE-2757)

  • Fixed Fastify implementation for reflected-xss detection. (NODE-2756)

  • Added hardening to getAllParents method. (NODE-2931)

リリース日: February 27, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • Improved support for Experss.static(). (SUP-4451)

  • Improved support for XXS detection when using the Fastify framework.

  • Improved logging surrounding errors when starting the agent.

リリース日:January 31, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • Instrumented the serve-static module to act as a custom sanitizer.

リリース日: January 20, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

修正された不具合:

  • Config-diagnostics fails to create a configuration file if the logger path refers to a file descriptor.

リリース日: January 17, 2023

現在サポートしている言語バージョン:12、14、16、18 LTS

新機能と改善点:

  • Included the docker container ID in the system-info.json when running system-diagnostics.

  • CVE-2022-46175 node-agent Prototype Pollution in JSON5 via Parse Method.

修正された不具合:

  • Prevent crashing when the req is undefined. (NODE-2867)

リリース日:2024年1月2日

現在サポートしている言語バージョン:仕様一覧を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点:

  • CVE-2023-45857に対してAxiosを更新しました。

  • 各コンポーネントで単独のイベントエミッターを使用するようにしました。

  • koa-multerをAssessのデータフローソースとして実装しました。

  • レスポンスをスキャンするルールをさらに追加しました。

  • /tracesデータがContrastサーバに送信される際に、新しいstandardNormalizedUriフィールドが正しく設定されるようになりました。

  • 暗号化関連のAssessルール(安全ではないハッシュアルゴリズム、安全ではない暗号化アルゴリズム、脆弱な乱数生成)を実装しました。

  • バージョン5でejs.Template.prototype.generateSource のプロパゲータを実装しました。

  • バージョン5のエージェントでテレメトリが報告されるようになりました。テレメトリを無効にする設定は遵守されます。

修正された不具合:

  • 「TypeError: Cannot read properties of undefined (reading 'path')」のエラーを修正しました。(NODE-3292)

  • ProtectのNoSQLインジェクションの報告を修正しました。(NODE-3216)

リリース日: 2023年11月28日

現在サポートしている言語バージョン:仕様一覧を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点:

  • util.formatのプロパゲータを実装しました。

  • 信頼できないデータのデシリアライゼーションルールのサポートを追加しました。

  • QueryBuilder サブクラスに、 sql-encodedプロパゲータとしてパッチを当てた関連メソッドが含まれるようになりました。

リリース日: 2023年11月16日

現在サポートしている言語バージョン:仕様一覧を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点:

  • 以下のプロパゲータを実装しました。

    • path.toNamespacedPath

    • path.extname

    • path.parse

    • path.format

    • querystring.stringify

  • いくつかのエスケープメソッドに対してプロパゲータを実装しました。

  • リクエストレスポンスの測定値をDEBUGレベルでログに出力するようにしました。

修正された不具合:

  • Distrolessコンテナを使用しているアプリケーションがアプリケーション/エージェントによってクラッシュし、ログにも出力されない、という問題を修正しました。(NODE-3225)

  • アプリケーションの起動で、Contrast Webインターフェイスからのサーバ設定値がエージェントの有効な設定値として使用されていなかった問題を修正しました。 (NODE-3243)

リリース日: 2023年10月31日

現在サポートしている言語バージョン:仕様一覧を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点:

  • バージョン5での「X-XSS-Protectionが無効なレスポンス」(xxssprotecttion-header-disabled)ルールにおけるContrastサーバからの報告の問題を修正しました。

修正された不具合:

  • JSON.parseプロパゲータがNULLまたは空の文字列で呼び出されると、trackerのエラーが発生していました。 (NODE-3230)

リリース日: 2023年10月26日

現在サポートしている言語バージョン:仕様一覧を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点:

  • path.relativeのプロパゲータを実装しました。

  • path.dirnameのプロパゲータを実装しました。

  • AssessのXML外部実体参照(XXE)ルールのサポートを追加しました。

修正された不具合:

  • Koaアプリケーションで、ルート検出が2回報告される問題を修正しました。(NODE-3199)

  • AssessまたはProtectがローカルで有効にされていない場合に、アプリケーションがオンボードできない問題を修正しました。(NODE-3221)

  • Docker版のjuice-shopでnpmが見つからない場合に実行に失敗する問題を修正しました。 (NODE-3223)

リリース日: 2023年10月19日

現在サポートしている言語バージョン:仕様一覧を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点:

  • Contrastの通信のトラブルシューティングのためにログ出力を改善しました。

  • ヒープダンプのスナップショットをキャプチャするためのより分かりやすい仕組みを実装しました。

  • juice-shopの検出結果をエージェントが誤って報告していた箇所を修正しました。

リリース日: 2023年10月8日

現在サポートしている言語バージョン:仕様一覧を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点:

  • serverTypeパスパラメータの構築時にv1エンドポイントが設定オプションを受け入れるようにしました。

  • JoiのBoolean値および数値の型強制メソッドの計測を実装しました。

  • Joiのvaluesメソッド(.allow().valid().equal())の計測を実装しました。

  • Joiのタイプ(objectexpressionany)の計測を実装しました。

  • evalシンクのコンテキストがeval(...)として報告されるようにして、Contrastメソッドのテキストが含まれないようにしました。

  • 追跡を行う全ての呼び出しの前で、イベントが正常に作成されたかどうかをチェックするようにしました。

修正された不具合:

  • エージェントの有効な設定が一度しか更新されていなかった問題を修正しました。(NODE-3204)

  • Assess実行時のメモリリークに関連する問題を修正しました。(NODE-3198)

リリース日: 2023年10月8日

現在サポートしている言語バージョン:仕様一覧表を確認してください。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

新機能と改善点:

  • エージェントの有効な設定でローカルポリシーを管理するために、全てのコンポーネントを更新しました。

  • 全ての文字列操作とArray.prototype.joinメソッドの使用をリファクタリングしました。

修正された不具合:

  • ファイルが安全な方法でserve-staticを使用して提供される場合に、エージェントがパストラバーサルを報告していませんでした。(NODE-3157)

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

リリース日: 2023年9月15日

現在サポートしている言語バージョン:仕様一覧を確認してください。

新機能と改善点:

  • Node.js 20.5.0以降のサポートを追加しました。

  • express-sessionのセッション設定ルールを実装しました。

  • URLSearchParamsに渡されるキーを追跡して、異なるオブジェクトタイプを解析するようにしました。

  • require-hookのログ出力を改善しました。

重要

このエージェントはベータ版です。ベータステータスでは、オプションが変更されたり、予期しない動作をする可能性があることを意味します。このベータ版を利用することで、お客様はContrastベータ版利用規約に同意することになります。

リリース日: 2023年9月1日

現在サポートしている言語バージョンとテクノロジ:仕様一覧を確認してください。

新機能と改善点:

  • Contrastサービス(SpeedRacer)の削除

  • エージェントを設定するためのコマンドラインオプションの削除。Python、Ruby、Goエージェントに合わせて、YAMLと環境変数のみをサポート。

  • Contrast AssessとContrast Protectの同時実行のサポート

  • Contrast Protect実行時のライブラリの使用状況(ECU/ELU)に関する報告(本番環境でのライブラリの報告)

  • Contrastサーバへの有効な設定の報告

  • devDependenciesをnpmに公開しない - CVE検出の過検知の減少

  • pinoを使用した構造化ログ

  • 重複排除のために正規化されたURIを使用したルート観測/カバレッジ

  • SWC使用した起動時のリライタの高速化

  • SuperTest npm: supertestを使用するAPIテスト時の脆弱性検出のサポート

  • String.prototype.matchAll()のプロパゲータのサポート(バージョン4では未サポート)

リリース日:2024年1月2日

現在サポートしている言語バージョン:14、16、18、20 LTS

新機能と改善点:

  • CVE-2023-45857に対してAxiosを更新しました。

  • 各コンポーネントで単独のイベントエミッターを使用するようにしました。

  • セキュリティのログ出力でpath: /dev/nullに対応し、サポート対象の全てのオペレーティングシステムでログを無効にできるようになりました。

  • バージョン5のエージェントでテレメトリが報告されるようになりました。テレメトリを無効にする設定は遵守されます。

修正された不具合:

  • 「TypeError: Cannot read properties of undefined (reading 'path')」のエラーを修正しました。(NODE-3292)

  • ProtectのNoSQLインジェクションの報告を修正しました。(NODE-3216)

  • vmモジュールでのエージェントの組込みを修正しました。 (NODE-3004)

リリース日: 2023年11月16日

現在サポートしている言語バージョン:14、16、18、20 LTS

新機能と改善点:

  • リクエストレスポンスの測定値をDEBUGレベルでログに出力するようにしました。

修正された不具合:

  • Distrolessコンテナを使用しているアプリケーションがアプリケーション/エージェントによってクラッシュし、ログにも出力されない、という問題を修正しました。(NODE-3225)

  • アプリケーションの起動で、Contrast Webインターフェイスからのサーバ設定値がエージェントの有効な設定値として使用されていなかった問題を修正しました。 (NODE-3243)

リリース日: 2023年10月8日

現在サポートしている言語バージョン:14、16、18、20 LTS

新機能と改善点:

  • 再起動の必要なく、ContrastサーバでProtectポリシーとログレベルを変更できるようにしました。

リリース日: 2023年9月15日

現在サポートしている言語バージョン:14、16、18、20 LTS

新機能と改善点:

  • ログ出力の使用を監査し、PIIのログを記録しているインスタンスを修正しました。

リリース日: 2023年8月25日

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • AssessとProtectの実装が異なる場合の同期。

  • Contrastサーバの通信にHTTPログを追加。

修正された不具合:

  • ContrastMethods.Functionを組み込み、既存のProtect入力追跡パッチをサポートするようリライタを更新しました。(NODE-3100)

  • effective-configエンドポイントに関するエージェントバージョン5の問題を修正しました。(NODE-3151)

リリース日: 2023年8月7日

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • JSON.parseにプロパゲータを実装しました。

  • セッション設定に関連するAssess仕様のルールを実装しました。

  • libxmljsライブラリの新しいメジャーバージョン(v 1.x.x.)のサポートを追加しました。このライブラリは、XML外部実体参照(XXE)の脆弱性を検出するために組み込まれます。

修正された不具合:

  • libxmljsが適切に組み込まれていなかった問題を修正しました。(NODE-3121)

リリース日: 2023年8月4日

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • 末尾に誤った文字を追加しないようにリライタを修正しました。

  • shebangコメントのあるファイルを変換できるようswcリライタを改善しました。

リリース日: 2023年7月14日

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • MongoDBのコンテキストでsleep(x)のような呼び出しのSSJSの攻撃を検出するように対応しました。

  • 有効な設定オプションにsession_idを追加しました。

リリース日: May 2, 2023

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • Added support for the MS SQL database driver for v5 Protect-only agent.

リリース日: April 3, 2023

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • Added support for detecting nosql-injection attacks for MarsDB in Protect mode.

リリース日: February 20, 2023

現在サポートしている言語バージョン:14、16、18 LTS

修正された不具合:

  • Fixed a bug when receiving the nosql-injection rule settings from Contrast and the agent not respecting that setting.

リリース日: February 9, 2023

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • security_logger receives the correct default values.

リリース日: February 9, 2023

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • NoSQL Injection Mongo - added support for $accumulator operator.

  • The RegExp now detects a vulnerable string with single and double quotes around the URI of the targeted file.

  • Bumped agent-lib version in Node agent v5 to v5.3.0.

リリース日:January 31, 2023

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • NoSQL Injection Mongo - added support for $function operator.

  • Migrated shared hooks to instrumentation layer: http, https, http2, spdy.

  • Reduced code duplication in existing Protect hooks.

  • CVE-2022-46175 node-require-hook Prototype Pollution in JSON5 via Parse Method.

修正された不具合:

  • NODE_OPTIONS envrionment for pino worker-thread does not get cleared of --require @contrast/.... (NODE-2882)

リリース日: January 17, 2023

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • Provided npx command to config-diagnostics and output results.

修正された不具合:

  • Fixed issue where @contrast/protect-agent does not install. (NODE-2803)

リリース日: January 10, 2023

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • CVE-2022-46175 Prototype Pollution in JSON5 via Parse Method.

  • Internal Protect data structure changes.

リリース日: December 8, 2022

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点:

  • Performance improvement for capturing stack traces. (NODE 2760)

リリース日: December 5, 2022

現在サポートしている言語バージョン:14、16、18 LTS

新機能と改善点: