PHPエージェントのリリースノート

サポートされるリリースとして、新しいバージョンのUbuntu(Noble Numbat)を追加しました。(PHP-1092)

Contrast Assessのパフォーマンスを改善しました。(PHP-1039、PHP-1089、PHP-1090)

Drupal 11の互換性サポートを追加しました。(PHP-1023)

報告されるeffective-configの形式に関する問題を修正しました。 (PHP-1094)

effective-configファイルの生成とアップロード (PHP-997)

ログファイルとセキュリティログファイルの両方でログのロールオーバーサイズを指定できるようにしました。(PHP-1036)

API v1.1のサーバ設定のエンドポイントのサポートを実装し、リクエスト時にポーリングするようにしました。(PHP-1049)

コンテナ化の検出とContrastサーバへのアップロード(PHP-1068)

Contrastサーバに指定されている、ボットブロックとIP拒否リストに対するブロックモードを修正しました。(PHP-1073)

クラウドプロバイダのリソース識別子を検出するように対応しました。(PHP-1027)

Content-Security-Policy(CSP)ヘッダやmetaタグのPHPルールを実装しました。(PHP-1033)

Drupalバージョン10のサポートを追加し、動作検証を完了しました。(PHP-849)

セグメンテーション違反の問題を修正しました。これは、PHPバージョン8.1で実行した場合に、エージェントのシャットダウン中に発生する可能性がありました。(PHP-1058)

セキュリティログの設定のサポートを追加しました。(PHP-995)

PHPエージェントは、Contrastの通信にCONTRAST__API__TOKENの使用をサポートするようになりました。CONTRAST__API__URL、CONTRAST__API__API_KEY、CONTRAST__API__SERVICE_KEY、およびCONTRAST__API__USER_NAMEの代わりに使用できます。(PHP-1016)

X-Contrast-Reporting-Instanceを、Contrastサーバに送信される各メッセージに追加しました。(PHP-981)

バージョン1.32.0でエージェントオペレータ(K8オペレータ)がリリースできなかった問題を修正しました。(PHP-1009)

エージェントは、Contrastから送信されたxcontent-type-header-missingルールを無効にするフラグを正しく処理するようになりました。(PHP-962)

エージェントが不完全なアプリケーションメッセージを送信し、Contrastエラーが発生する問題を修正しました。(PHP-1004)

エージェントとPHPバージョン8.2をロードするとLaravelが実行に失敗する問題に対処しました。(PHP-1019)

検出されたルートのフレームワーク名を追加しました。(PHP-976)

Laravelバージョン11の互換性サポートを追加しました。(PHP-982)

Contrast ProtectでSQLインジェクションの脆弱性CVE-2024-27956を検出する機能を追加しました。(PHP-915)

ソースコードのコメントを整理しました。(PHP-1008)

Contrastに報告される脆弱性のタイトルを修正し、実際の情報が表示されるようにしました。(PHP-919 および PHP-912)

エージェントから報告されるリクエストのCookieに機密データのマスキングを追加しました。(PHP-913)

「安全でないファイルのアップロード」のProtectルールを追加しました。

Protectに共通イベント形式(CEF)のログを追加しました。(PHP-822)

Contrast Assessで、SQLインジェクションの脆弱性であるCVE-2024-27956が見落とされる原因となっていた問題を修正しました。(PHP-983)

コンテンツ管理システム「WordPress」バージョン6のサポートを新たに追加しました。

PHPエージェントが、以下のルールに関して新たにContrast Protectをサポートするようになりました。

メモリリークを引き起こす可能性を修正しました。(PHP-954)

デフォルトのログ出力の場所が、プロセス間で同期しない可能性がある問題を修正しました。(PHP-937)

エージェントのログファイルへの書き込みは、以下のようになりました。

サポート速報「2024年5月2日　PHPエージェント、機密情報漏洩の可能性」で提起した問題に対応しました。

contrast_security.yaml設定ファイルがアプリケーションディレクトリにある場合、エージェントが本番環境で実行されると無効になるようにしました。

エージェントログファイルがアプリケーションディレクトリに作成されるように設定している場合、エージェントが本番環境で実行されるとログ記録を停止するようにしました。

トレースレポートに初めて機密データのマスキングを追加しました。

contrast-php-utilコマンドでエージェントを有効にする際に出力されていた不要な警告を削除しました。(PHP-904)

内部設定の状態(AgentStateクラス)の復元に関して、エージェントエラーの原因となる問題を修正しました。

内部設定の状態の保存と復元に関するログを更新しました。

RedHat 9でRPMパッケージを利用できるようにするために内部を更新しました。

エージェント内の機能に関するデバッグログを追加しました。

本バージョンはPHPのProtectの最初のリリースで、以下が含まれます。

x64版のRed Hat 9のサポートを追加しました。

PHP 8.3のサポートを新たに追加しました。

Symfony 6.4と7.0のサポートを追加しました。

Symfonyでキャッシュされたルートに対して、ルート検出が行われるように対応しました。

DebianのディストリビューションパッケージとしてBookwormを追加しました。

PHP 8.2のサポートを新たに追加しました。

環境変数のログをエージェントログに追加しました。

書き込み不可能なログディレクトリに関するログを記録するようにしました。

特定のフレームワークのファイルの解析時に、PHP拡張モジュールでセグメンテーション違反を引き起こしていた2つの問題に対処しました。(SUP-4910)

プロキシ設定を読み取る項目名を誤っていた問題に対応しました。(PHP-828)

Contrastサーバの通信に使用するプロキシを指定できる機能を追加しました。

ネットワーク通信層の一時パスの設定に関するログを追加しました。

ログ出力のパスとしてSTDOUTを使用している場合に、リクエストログを記録する機能(api.log_requests)を「 true」に設定すると、ネットワークリクエストのログが記録されなくなる問題を修正しました。

PHP 8.0とLaravel 9で動作させた場合にセグメンテーション違反が発生する問題。

バージョン8.0および8.1でパススルーモジュールが読み込まれない問題。

セキュリティの欠陥に対処するため、内部パッケージを更新しました。

未使用の設定オプションを削除しました。

特定のPHPファイルによって、エージェントのセグメンテーション違反が発生する問題を修正しました。エージェント全体の堅牢性を向上させました。

内部のライブラリのバージョンを更新しました。

DebianのディストリビューションパッケージとしてJammyを追加しました。

Symfonyフレームワークとバージョンを検出するようにしました。

Symfony使用時のDoctrineに対して、エージェントによる計測を追加しました。

ライセンスファイルの著作権の日付を更新しました。

エージェント設定ファイルの値(group、metadata、 session_metadata)が、アプリケーションの自動オンボードで適切に解析されるようにしました。

Symfonyフレームワークのサポートを追加しました。

カスタムDrupalモジュール(Composerでインストールされていないもの)のSCA解析を追加しました。

Coalesceコールとクロージャで構成されるPHPコードがあった場合に、 発生する可能性があるエージェントのクラッシュを修正しました。

Contrastサーバに提供されるデータに、有効なスタックトレースが含まれるよう更新しました。

リクエストヘッダからのレポートで反射型XSSの過検知の可能性を取り除きました。

ComposerでインストールされていないDrupalモジュールを認識するようにしました。

PHP 8.0のサポートを追加しました。

Red Hat EnterpriseでPHP-FPMを使用して実行する場合に、Webサーバのルートディレクトリを作業ディレクトリとして使用するように修正しました。(PHP-679)

Initial support for PHP 8.1.

Added initial Assess support for Drupal 8 and 9.

Added SCA support for Drupal 8 and 9 when installing modules using Composer packages.

Added support for LDAP injection rules.

Added support for NoSQL injection rules for MongoDB and Redis.

Fixes minor issue with route discovery logs.

Initial triggers for redos rule.

Provides packages for arm64/aarch64.

Includes fixes previously released in 1.3.1 and 1.3.2.

Better error handling for request shutdown hook. (PHP-576)

Initial support for nosql-injection rule: initial support is for the Datastax Cassandra CQL driver for PHP.

Support for capturing full stack traces and relevant common configuration options.

Fixed issue when using relative agent log path. (PHP-540)

Fixed issue with route discovery when running under php-fpm. (PHP-528)

Agent is now disabled by default with PHP command-line interface (CLI) in order to prevent accidental analysis of PHP scripts and commands.

Added diagnostic script contrast-php-util to agent package along with experimental commands for enabling/disabling agent to ease onboarding.

Added support for reflection-injection rule.

Contains fixes for configuration of Assess and API certificates that were included in previous individual bugfix releases.

Add certificate configuration option for Contrast API.

Agent now defers to Contrast web interface setting for enabling Assess if omitted from configuration.Previously the agent required Assess to be explicitly enabled locally as well.

Improvements to trace event rendering in the Contrast web interface.

Added coverage to unsafe-code-execution for extract function.

Fixed issue with configuration file discovery paths. (PHP-496)

Fixed issue with json_decode propagation. (PHP-482)

Assess and SCA feature support for PHP applications.

Support for the Laravel framework.