オンプレミス版のリリース情報
このリリース情報は、オンプレミス版のお客様向けに毎月公開されます。
6月(3.11.5)
Contrast 3.11.5のオンプレミス版が、 2024年7月24日にリリースされました。 3.11.5のドキュメントをPDFでダウンロードできます。
新機能と改善点
Java 11のサポート終了
本リリース以降、ContrastインストーラにはJava 17が含まれます。分散環境で独自のバージョンのJavaを使用している場合は、Java 17以降を使用していることを確認してください。インストールで、以前のJavaのバージョンはサポートされなくなりました。(PROD-3023)
セキュリティに関する修正
内部フォームオブジェクトにバインディング制限を追加しました。(TS-33018)
脆弱性のあるサードパーティの依存関係を更新しました。(複数のCOMPチケット)
修正された不具合
複数言語のモジュールを含むマージされたアプリケーションで、コンプライアンス対応レポートを生成する際に、アプリケーションモジュールのライブラリが見つからない問題を修正しました。(TS-32210)
JIRAとのインテグレーションで発生していた、ラベルのマッピングの問題を修正しました。(INT-1173)
5月(3.11.4)
Contrast 3.11.4のオンプレミス版が、 2024年6月20日にリリースされました。 3.11.4のドキュメントをPDFでダウンロードできます。
重要
オンプレミス版のContrastのインストールで、独自のJavaのバージョンを使用している場合は、Java 11のサポートは来月にリリースされるContrast 3.11.5で終了することにご注意ください。できるだけ早くアップグレードすることをお勧めします。
新機能と改善点
PHPエージェントのContrast Protect
PHPエージェントが、Contrast Protectのルールと機能をサポートするようになりました。コマンドインジェクション、SQLインジェクション、パストラバーサル、反射型クロスサイトスクリプティング、ボットのブロック、IPのブロック、機密データのマスキングに対応しています。 (PROD-1636)
セキュリティに関する修正
組織管理者に二要素認証(2FA)を有効にするよう警告(COMP-201)
PHPエージェントのセキュリティアップデート(COMP-599)
脆弱性のあるサードパーティの依存関係を更新(複数のCOMPチケット)
修正された不具合
バグ管理システムや電子メールでライブラリ情報を送信する際に、CVSS2ではなくCVSS3の情報(機密性への影響、攻撃元区分など)を含めるようにしました。(SCA-1587)
.NET Coreアプリケーションのライブラリに関して、ライブラリがあるサーバの一覧が正しく表示されるようになりました。(SCA-1644)
コンプライアンス対応レポートの生成を改善し、多数のルート観測が存在する場合に発生していたタイムアウトを解決しました。(TS-31541)
Edit権限を持つユーザが脆弱性タブで複数行を選択した場合に、一括アクションメニューに表示されるオプションが欠けていた問題を解決しました。(TS-31021)
.NETライブラリで、パッケージのバージョンがある場合、アセンブリのバージョンではなくパッケージのバージョンが表示されるようになりました。(SCA-1682)
4月(3.11.3)
Contrast 3.11.3のオンプレミス版が、 2024年5月15日にリリースされました。 3.11.3のドキュメントをPDFでダウンロードできます。
新機能と改善点
アプリケーションにエージェントを組み込んだ後に、ルートを決定するフレームワークがサポート対象であるかどうかがContrastでチェックされるようになりました。ルート探索中に検出されたフレームワークの詳細が、Contrastダッシュボードに表示されます。この機能は、現在、Javaエージェントと.NETエージェントの最新バージョンでサポートされています。(PROD-2447)
Javaエージェントに、gRPCのサポートを追加しました。(PROD-2546)
Javaエージェントに、Glassfish 5と6およびPayara 5と6のサポートを追加しました。(PROD-2792)
.NETエージェントに、gRPCのサポートを追加しました。(PROD-2289)
セキュリティに関する修正
脆弱性のあるサードパーティの依存関係を更新(複数のCOMPチケット)
3月(3.11.2)
Contrast 3.11.2のオンプレミス版が、 2024年4月17日にリリースされました。3.11.2のドキュメントをPDFでダウンロードできます。
新機能と改善点
脆弱性タブのアクティビティログに、脆弱性のステータス変更に関する情報が含まれるようになりました。変更に関する情報は以下の通りです:
ユーザ名
新たな深刻度
以前の深刻度
変更日
組織管理者のみが脆弱性のステータスを変更できることに注意してください。(PROD-2800)
セキュリティに関する修正
脆弱性のあるサードパーティの依存関係を更新(複数のCOMPチケット)
修正された不具合
アプリケーションのオンボーディング時にアプリケーションのタグが正しく適用されない問題を修正しました。(TS-28882)
2月(3.11.1)
Contrast 3.11.1のオンプレミス版が、 2024年3月22日にリリースされました。 3.11.1のドキュメントをPDFでダウンロードできます。
お知らせ
JRE(Java Runtime Environment)17がオンプレミスでサポートされるようになりました。JREをアップグレードすることをお勧めします。
新機能と改善点
SCAをご利用のお客様は、CVEとライブラリを関連付けるより正確な情報を利用できるようになりました。CVEおよびライブラリのデータを自動的に収集してマッピングする機能を改良して、より正確な情報を提供するようにしました。可能な限り正確なSCAデータセットを提供するために、Googleが公開するオープンソースの脆弱性データベースであるOSV(Open Source Vulnerabilities)からデータを取得することで、Contrastの脆弱性データベースを向上しています。
新しいバックエンドとデータベースを先に導入し、OSVからデータを収集しながら、監視・テスト・受信データの検証を行なってきましたが、この改良されたデータセットへの完全な切り替えは2024年3月20日から有効になります。
新しいデータソースの追加により、より正確なデータが得られるようになりますが、現在までに各ライブラリにマッピングされていたCVEが変わる可能性もあります。その結果、個々のライブラリ評価が変わり、さらにライブラリスコアやアプリケーションの評価が変わる可能性もあります。
ライブラリポリシーが設定されている場合、またはSCAデータを考慮するセキュリティゲートがパイプライン内にある場合、アプリケーションにポリシーが適用されるまたは適用外になることがあります。しかしながら、弊社の分析によると、新しいデータの方が正確です。そのため、変更の可能性はありますが、アプリケーションの真のSCAリスクをより正確に把握するための変更とご理解ください。
ご質問やご不明な点、もしくはこの件についてさらに詳しく知りたい場合は、いつでもsupport@contrastsecurity.comまでご連絡ください。
この機能はデフォルトでは無効になっていますが、リクエストに応じて有効にすることができます。次のリリースではデフォルトで有効になります。(PROD-2717)
ルートの有効期限ポリシーを追加しました。ゲートやポリシーを公正かつ正確に適用し、誤ってゲートで通知されたビルドに開発者が対処する必要がないようにするための機能です。このポリシーは以下の基準に基づきます。
検出されたルートは、アクティブなアプリケーションで30日間表示されなかった場合に期限切れとなります。このようなルートは削除され、ルートカバレッジの計算には含まれなくなります。
有効期限は、Contrast Webインターフェイスで設定できます。
アクティブなアプリケーションにのみ適用されます。
アクティブなアプリケーションの1つのルートに脆弱性がある場合、そのルートの有効期限が切れて削除される前に修復済 - 自動検証のステータスになります。
この機能は「組織の設定」の「アプリケーション」で有効にできます。詳細は、ルートの有効期限ポリシーの設定を参照してください。(PROD-2558)
セキュリティに関する修正
脆弱性のあるサードパーティの依存関係を更新(複数のCOMPチケット)
2段階認証を修正(COMP-580)
脆弱性の傾向レポートのPDFの生成の非推奨化(COMP-232)
修正された不具合
インストーラの改善(TS-30346、TS-28294)
1月(3.11.0)
Contrast 3.11.0のオンプレミス版が、 2024年2月21日にリリースされました。3.11.0のドキュメントをPDFでダウンロードできます。
お知らせ
JRE(Java Runtime Environment)17がオンプレミスでサポートされるようになりました。JREをアップグレードすることをお勧めします。
新機能と改善点
脆弱性の備考タブの情報を新しいOWASP APIルールのマッピングに更新しました。(TS-29753)
セキュリティに関する修正
脆弱性のあるサードパーティの依存関係を更新しました。(複数のCOMPチケット)
機密データマスキングのデフォルトにフィールドを追加しました。(COMP-549)
修正された不具合
レポートおよび組織の統計値のページで「Internal Serverエラー」が表示される問題を修正しました。(TS-26601)
二要素認証(2FA)が設定されているユーザの設定ページでの問題を修正しました。(TS-28665)
SAMLと二要素認証(2FA)の両方が有効な場合に発生する動作の不一致を修正しました。(TS-29425)
監査ログにユーザのロール/グループの変更が正しく表示されるようになりました。(TS-29048)
LDAPを設定したオンプレミス版のインスタンスで、新しい組織を作成する際のエラーを修正しました。(TS-29807)
12月(3.10.11)
Contrast 3.10.11のオンプレミス版が、 2024年1月17日にリリースされました。3.10.11のドキュメントをPDFでダウンロードできます。
お知らせ
JRE(Java Runtime Environment)17がオンプレミスでサポートされるようになりました。JREをアップグレードすることをお勧めします。
新機能と改善点
API経由でフィルタリングされたルートを取得する際のパフォーマンスを改善しました。(TS-27539)
セキュリティに関する修正
ThymeLeafの脆弱性のあるサードパーティの依存関係を更新しました。(COMP-542)
他のサードパーティの依存関係を更新しました。(複数のチケット)
SSO設定時のデフォルトのユーザアクセスグループの動作を変更しました。(TS-28753)
11月(3.10.10)
Contrast 3.10.10のオンプレミス版が、2023年12月14日にリリースされました。 3.10.10のドキュメントをPDFでダウンロードできます。
お知らせ
JRE(Java Runtime Environment)17がオンプレミスでサポートされるようになりました。JREをアップグレードすることをお勧めします。
新機能と改善点
ライブラリページの使用状況の列でライブラリをソートする機能を追加しました。(SCA-1394)
メモリの問題に対処するためコンプライアンス対応レポートの生成をさらに改善しました。(TS-28014)
セキュリティに関する修正
アプリケーションのログで機密データの漏洩を防ぐためのロジックを追加しました。(TS-28956)
サードパーティの依存関係を更新しました。(複数のチケット)
UIから未使用のベンダ提供のSDKを削除しました。(COMP-537)
修正された不具合
ライブラリフィルタのドロップダウンで、QA環境のサーバのラベルが正しくない問題を修正しました。(TS-29069)
Linuxのオンプレミス版でのアンインストールの問題を修正しました。(TS-28329)
組織でRBACが有効になっている場合のいくつかの権限の問題を修正しました。(TS-28403、TS-28582、TS-28734、TS-28983)
ライブラリAPIのエンドポイントで
last_seenパラメータが欠けていた問題を修正しました。(SCA-1455)
10月(3.10.9)
Contrast 3.10.9のオンプレミス版が、 2023年11月15日にリリースされました。3.10.9のドキュメントをPDFでダウンロードできます。
新機能と改善点
セキュリティ基準レポートを削除しました。代わりにコンプライアンス対応レポートを使用して下さい。コンプライアンス対応レポートは、セキュリティ基準レポートと同様の情報を提供します。コンプライアンス要件への対応や緊急な対策が必要な箇所を特定するのに役立ちます。(PROD-2421)
既存のJiraインテグレーションに、Jira Data Centerのバージョン9のサポートを追加しました。(PROD-2622)
アプリケーションメタデータやセッショメタデータが無い場合に、アプリケーションのオンボードが失敗するようなりました。(PROD-2303)
アプリケーションのルートカバレッジタブに、セッションメタデータを使用する新しいトレンドグラフ機能を追加しました。(TS-24507)
セキュリティに関する修正
APIドキュメント/APIプレイグランドにパッチを適用し、公開しました。(COMP-261)
自動バインドの脆弱性にパッチを適用しました。(COMP-508)
デシリアライズの脆弱性にパッチを適用しました。(COMP-394)
シリアライズされたクラス操作の脆弱性にパッチを適用しました。
修正された不具合
脆弱性の詳細タブで、以前は含まれていたサードパーティメソッドがあるカスタムコードが正しくフィルタリングされるようになりました。(TS-26927)
一部のサーバにおいて、Webインターフェイスからの切り替えでProtectを有効にできない問題を修正しました。(TS-27068)
RBACが有効な組織において、一部のアプリケーションのライブラリタブの問題を修正しました。(TS-27962)
ライブラリAPIのエンドポイントが、関連付けられたサーバの誤ったリストを返す問題を修正しました。(SCA-1372)
一部の承認済ユーザがAzure Boardsのバグ管理システムを介して脆弱性を送信できない問題に対応しました。(TS-28039)
脆弱性の自動修復が中断される問題を修正しました。(TS-28213)
マージされた複数のアプリケーションでルートカバレッジのフィルタリングが出来るように修正しました。(TS-28289)
9月(3.10.8)
Contrast 3.10.8のオンプレミス版が、 2023年10月18日にリリースされました。3.10.8のドキュメントをPDFダウンロードできます。
サポート終了のお知らせ
2023年11月7日、セキュリティ基準レポートは非推奨となり、コンプライアンス対応レポートに切り替わります。詳しくはサポート情報をご覧ください。
備考:JRE(Java Runtime Environment)17がオンプレミスでサポートされるようになりました。 JREをアップグレードすることをお勧めします。
新機能と改善点
Adminユーザは、Edit権限を持つユーザが脆弱性を削除できるかどうか、またはアプリケーションをアーカイブできるかどうかを設定できるようになりました。(PROD-2441) 注:次のオンプレミス版リリースで、Contrast Webインターフェイスが改善される予定です。
修正された不具合
SELinux対応ディストリビューション上のデフォルト以外の場所にオンプレミス版Contrastをインストールした場合でも、
systemctlでサービスを開始および停止できるようになりました。(TS-25805)組み込みデータベースをデフォルト以外の場所で使用する場合の、オンプレミス版Contrastのインストールに関する問題を修正しました。(TS-19725)
Log4jおよびその他の未使用パッケージの古いバージョンがアップグレード時にクリーンアップされるように、オンプレミス版Contrastのインストーラを修正しました。(TS-23001)
APIを使用してユーザをユーザアクセスグループに追加できるように修正しました。(TS-27431)
APIを使用して一部の脆弱性が削除できない問題を修正しました。(TS-27734)
アプリケーションから最終タグを削除してもエラーが発生しなくなりました。(TS-22074)
アプリケーションで表示される使用中のクラスと使用されているクラスの不一致を修正しました。(SCA-1225)
8月(3.10.7)
Contrast 3.10.7のオンプレミス版が、 2023年9月20日にリリースされました。3.10.7のドキュメントをPDFでダウンロードできます。
重要
Contrastオンプレミス版3.10.6でのJava17のアップグレードにより、CA証明書が更新されています。Java 17にアップグレードする前に$CONTRAST_INSTALLATION/jre/lib/securityディレクトリの cacertsファイルをバックアップしてください。これにより、アップグレード処理後のログインの問題を減らすことができます。
新機能と改善点
攻撃イベント一覧を最適化してパフォーマンスを向上させました。(TS-26639、TS-26637、TS-26533)
ユーザの組織ロールの変更に対して、監査ログへのエントリを追加しました。 (TS-23981)
脆弱性にセッションメタデータが関連付けられている場合のアプリケーションの「脆弱性」タブのパフォーマンスを改善しました。(TS-18755)
セキュリティに関する修正
サードパーティの依存関係を更新(複数のCOMPチケット)
Contrastサーバログの機密情報を消去(COMP-338)
修正された不具合
APIエンドポイント
/ng/{orgUuid}/applications/{appId}/routeを修正し、データベースのsql_modeの設定に関係なくsortパラメータの追加が必要だった問題を解決しました。(TS-26890)ルートに多くの脆弱性が関連付けられている場合に問題が発生しないように、コンプライアンス対応レポートの生成を改善しました。 (TS-26402)
マージされたアプリケーション内で、バグ管理システムへの一括送信が失敗する場合があった問題を修正しました。(TS-26345)
ロールベースのアクセス制御(RBAC)で、ユーザアクセスグループにユーザを追加すると404エラーになる問題を修正しました。(TS-27080)
一部の脆弱性の「備考」タブで、セキュリティ基準名が抜けている問題を修正しました。(TS-27061)
LDAP、AD、またはSSOが有効な場合に、ユーザのセキュリティオプション(ログインのロックアウトなど)が表示されない問題を修正しました。(TS-21192)
LDAPグループセクションで同じグループを2回追加できてしまう問題を修正しました。この問題によって、Contrast Webインターフェイスは重複のためにロードに失敗していました。(TS-8192)
7月(3.10.6)
Contrast 3.10.6のオンプレミス版が、 2023年8月16日にリリースされました。3.10.6のドキュメントをPDFでダウンロードできます。
特記事項
今月のEOPのインストールでは、以下のメッセージが表示されることが予想されます。なお、今回はWindows版はリリースされません。
WARNING: A terminally deprecated method in java.lang.System has been called WARNING: System::setSecurityManager has been called by com.install4j.runtime.installer.frontend.headless.AbstractHeadlessScreenExecutor (file:/opt/Contrast.sh.3042.dir/i4jruntime.jar) WARNING: Please consider reporting this to the maintainers of com.install4j.runtime.installer.frontend.headless.AbstractHeadlessScreenExecutor WARNING: System::setSecurityManager will be removed in a future release
これらのメッセージは、使用しているインストーラツールからのもので、表示を制御できませんでした。これらのメッセージは無視してかまいません。
注記
インストーラの起動後に、次のメッセージが表示されます。
root@ubuntu:/opt# ./Contrast.sh Unpacking JRE ... Starting Installer ... WARNING: A terminally deprecated method in java.lang.System has been called WARNING: System::setSecurityManager has been called by com.install4j.runtime.installer.frontend.headless.AbstractHeadlessScreenExecutor (file:/opt/Contrast.sh.2982.dir/i4jruntime.jar) WARNING: Please consider reporting this to the maintainers of com.install4j.runtime.installer.frontend.headless.AbstractHeadlessScreenExecutor WARNING: System::setSecurityManager will be removed in a future release This will install Contrast Enterprise On-Premises on your computer. OK [o, Enter], Cancel [c]
新機能と改善点
アプリケーションがJVM内でプロセスを起動するのをブロックする、プロセスハードニングルールを新規に作成しました。これにより、エージェントの入力解析で攻撃を検知できなかった場合に、リモートコード悪用(RCE)を試みる攻撃が成功するのを防ぐことができます。(PROD-2338)
エージェント、JDK、およびEOPのJREでのJava17のサポートと、JRE 11のEOSサポートを追加しました。(PROD-2342)
セッションの差分を取得するAPIを実装しました。開発者は、同じテストスイートを実行している2つのセッションを比較できるようになりました(セッションで様々なテストスイートが使用されている場合)。ポリシーを適用して自動検証を実装するために、新たに検出された脆弱性、クローズと想定される脆弱性、オープンのままの脆弱性を特定できるようになりました。(PROD-2413)
組織の設定で複数のJiraインテグレーションが設定されている場合に、認証情報を簡単に管理する機能を追加しました。(TS-25947)
URL正規化による脆弱性重複を回避するロジックを改善しました。(TS-24577)
脆弱性レポートの一括エクスポート時のパフォーマンスを改善しました。(TS-20381)
サーバの一覧をロードする際のパフォーマンスを改善しました。(TS-25764)
新しいダッシュボードでのルートカバレッジの表示を改善しました。(TS-17639)
セキュリティに関する修正
サードパーティの依存関係を更新(複数のCOMPチケット)
jQueryの脆弱なバージョンを更新 (COMP-337)
静的ページに標準のセキュリティヘッダを追加(COMP-336)
Javaエージェント用にWebFlux Spring MVCのサポートを追加(COMP-328)
アクセス制御の不備の修正(COMP-315)
修正された不具合
一部のケースで有効なエージェントの設定が正しく表示されていなかった問題を修正しました。(TS-25421)
エージェント設定ファイルによって設定が指定された際に、Assessステータスと混同してNode.jsアプリケーションにProtectのライセンスを付与できなかった問題を修正しました。(TS-25970)
アプリケーションの脆弱性タブで深刻度を変更する際のUIの問題を修正しました。(TS-22895)
バグ管理システムとのインテグレーションを使用して作成されたバグチケットから、Contrast Webインターフェイスの脆弱性へのリンクが壊れていた問題を修正しました。(SCA-157)
一部のライブラリで使用状況の情報がロードされない問題を修正しました。(SCA-475)
アーカイブ
6月(3.10.5)
Contrast 3.10.5のオンプレミス版が、 2023年7月19日にリリースされました。3.10.5のドキュメントをPDFダウンロードできます。
新機能と改善点
脆弱性検索のパフォーマンスを改善しました。(TS-23239)
新しい例外の作成時に、アプリケーション名が監査ログに追加されるようになりました。(TS-24005)
Contrastサーバのユーザ名にドット文字が使用できるようになりました。(TS-24558)
ロードバランサを使用した環境でのオンプレミス版Contrastにて、TomcatのRemoteIPValveロギングコンポーネントを使用して、ロードバランサのIPアドレスの代わりにクライアントIPアドレス(Contrastエージェントを実行しているサーバなど)を
access_logに記録できるようになりました。(TS-24643)
セキュリティに関する修正
アクセスコントロールの不備を修正しました。(COMP-315)
Nodeエージェント(v4.32.0)のいくつかの古い依存関係を更新しました。(COMP-341)
修正された不具合
脆弱性の概要ページで
X-Content-Type-Optionsヘッダのないレスポンスを検出が欠落していた問題を解決しました。(TS-22390)通知に表示されるレビュー待ちの脆弱性の数と、実際のレビュー待ちの数の不一致を修正しました。(TS-23268)
オンプレミス版のContrastサーバのログから起動時の不要な警告メッセージを削除しました。(TS-3916)
マージされたアプリケーションで、ルートと脆弱性の情報が大量な為にバックエンドの問い合わせがタイムアウトし、セッションメタデータが表示されない問題を修正しました。(TS-24734)
Jenkinsのジョブ結果ポリシーの許容される脆弱性数フィールドの値に0を許可しない問題を修正しました。(TS-25102)
一部の攻撃イベントで誤ったCookieの報告がされていました。(TS-25130)
アプリケーションのマージを解除すると、
500 - Internal Server Errorが発生することがありました。(TS-25477)
5月(3.10.4)
Contrast 3.10.4のオンプレミス版が、 2023年6月14日にリリースされました。3.10.4のドキュメントをPDFでダウンロードできます。
新機能と改善点
ProtectとAssessのサーバと使用中のライセンスの可視性が向上しました。Contrast Webインターフェイスのダッシュボードに、ProtectとAssessの有効性、ライセンスおよびエージェントの設定について、全ての正確かつ最新の情報が反映されるようになりました。(PROD-2186)
セキュリティに関する修正
Apache HTTPサーバの脆弱性のパッチを適用(COMP-300)
修正された不具合
オンプレミスのインストールにおけるVMオプションを見直し、Java 11の最適な実装によるガベージコレクションをより適切に管理できるようになりました。(TS-24107)
組み込みデータベースを使用するオンプレミスのインストールで、my_extra.cnfファイルによるデータベースサーバオプションのカスタマイズを正しくサポートするようになりました。(TS-23316)
空白文字を含むエージェントのユーザ名の取り扱いを改善しました。(TS-24379)
4月(3.10.3)
Contrast 3.10.3のオンプレミス版が、 2023年5月17日にリリースされました。3.10.3のドキュメントをPDFでダウンロードできます。
新機能と改善点
自動検証の機能を改善しました。セッションベースの自動検証を実装し、セッション終了のエンドポイントを追加しました。脆弱性がクローズされたことを便利な方法で確認できるようになり、セッションベースのポリシーによる自動検証で修復されたステータスが表示されます。(PROD-1737)
セキュリティに関する修正
不正アクセスの脆弱性を解決(COMP-296)
SSOユーザのアカウントロックに関する問題を解決(COMP-297)
修正された不具合
アクティビティのダイジェストEメールのメッセージから、現存しないアンケート調査を削除しました。 (TS-23049)
3月(3.10.2)
Contrast 3.10.2のオンプレミス版が、 2023年4月19日にリリースされました。3.10.2のドキュメントをPDFでダウンロードできます。
新機能と改善点
Java(Kafka)のメッセージキューをサポートするようになりました。(PROD-2151)
Contrast .NET CoreエージェントがAssessのAzure FunctionsでAzure Service Busトリガーをサポートするようになりました。(PROD-2158)
コンプライアンス対応レポートに最新規格のPCI DSS v4が追加されました。 (PROD-2387)
Contrast HubにEOPの最新リリースのソフトウェア部品表(SBOM)のエントリを作成しました。(PROD-2450)
セキュリティに関する修正
なりすましのワークフロー中にお客様のIP制限をContrastサーバで適用するようにしました。(COMP-244)
SuperAdminが自分の組織のメンバーである場合、組織管理者はSuperAdminのユーザ設定を編集できなくなりました。(COMP-226)
修正された不具合
一部のNode.JSアプリケーションの脆弱性の「概要」タブを開くと「内部サーバエラー」が発生する問題を修正しました。(TS-23973)
ルートカバレッジタブのCSVファイルエクスポートは、セッションによるフィルタリング時に現在設定されているビューを優先するようになりました。そのため、選択したセッションメタデータのセットに一致するルートのみが含まれるようになります。(TS-23027)
仮想パッチ名が「rule.name.null」と表示されていたのを修正しました。(TS-23799)
ライセンスファイルにAssessインスタンスのみが含まれている場合、組織にライセンスを割り当てることができない問題(403レスポンスコード)を修正しました。(TS-23045)
Linuxでオンプレミス版のContrastインスタンスをアンインストールする際のエラーを修正しました。(TS-23044)
2月(3.10.1)
Contrast 3.10.1のオンプレミス版が、 2023年3月15日にリリースされました。3.10.1のドキュメントをPDFでダウンロードできます。
新機能と改善点
Contrast PHPエージェントがSymfonyフレームワークで書かれたアプリケーションをサポートするようになりました。(PROD-1552)
Contrast Webインターフェイスのダッシュボードに概要として表示されている項目が、元となるデータに直接リンクされるようになりました。ダッシュボードとその元となるデータ間のナビゲーションが、これまで以上にシンプルで直接的になりました。これはベータ版です。(PROD-1911)
API経由でルートカバレッジをCSVファイルにエクスポートする際にagentSessionIdを含めることにより、指定したsession_metadataのセットに一致するルート情報のエクスポートができるようになりました。(TS-22425)
npmでCLIのバージョン2をインストールすることで、エージェントを組み込めないアプリケーションなどでSCAを実行できる、新しいプロジェクト機能を追加しました。
セキュリティに関する修正
オンプレミス版(EOP)のContrastサーバにJREの更新バージョンのjdk-v11.0.16+8をバンドル。(COMP-291)
組織管理者が、SuperAdminを組織から削除することが可能。(COMP-238)
修正された不具合
ライブラリが最新バージョンの場合に、バージョン番号の代わりに「up to date」と表示されてしまう。(SCA-608)
あるライブラリに関連するCVEがあり、その後CVEが削除された場合に、オンプレミス版Contrastでは削除が有効にならない場合があった。(SCA-683)
マージされたアプリケーションのモジュールに対して行われた攻撃は、アプリケーションの概要タブに表示されるが、対応するハイパーリンクは親アプリケーションに対する攻撃しか表示しない。(TS-20125)
1月(3.10.0)
Contrast 3.10.0のオンプレミス版が、 2023年2月15日にリリースされました。3.10.0のドキュメントをPDFでダウンロードできます。
新機能と改善点
Protectのライセンス管理を更新しました。Protectライセンスの上限を設けず、購入ライセンス数を超えた場合に警告するようになりました。システム管理者(Superadminユーザ)は、組織の「ライセンス概要」にアクセスし、ライセンスを割り当てる必要があります。お客様側での対応は必要ありません。(PROD-1499)
SBOM(ソフトウェア部品表)レポートが、米国商務省電気通信情報局(NTIA)の最小要件を満たすようになりました。サプライヤー情報やコンポーネントの依存関係も含まれるようになりました。(PROD-2194)
LDAPの設定に誤りがあった場合でも、スーパー管理者がアクセスを確保できるよう、オンプレミス版を設定できるようになりました。(TS-18955)
セキュリティに関する修正
バンドルするJRE(OpenJDK11)をv11.0.17(Oracleが推奨するJDK11のセキュリティベースライン)にアップグレードしました。(COMP-291)
修正された不具合
ルートカバレッジでのセッションメタデータによるフィルタリングが、疎通されたルートを正しくフィルタリングして、フィルタに関連するルートだけを表示するようになりました。(TS-22269)
Webhookのインテグレーションを設定時に、ホスト検証がプロキシ設定をバイパスすることがありました(オンプレミス版のみ)が、プロキシを正しく受け入れるようになりました。(TS-22403)
既存のAzure DevOpsのインテグレーションの変更に対して、関連するアプリケーションの変更が保存されない問題を修正しました。(TS-22091)
JIRAのインテグレーションで"options-with-child"フィールドが正しく表示されない問題を修正しました。(TS-21666)
12月(3.9.11)
Contrast 3.9.11のオンプレミス版が、 2023年1月18日にリリースされました。3.9.11のドキュメントをPDFでダウンロードできます。
新機能と改善点
アプリケーション一覧の「スコア」列でフィルタリングができるようになりました。(PROD-1910)
修正された不具合
ユーザが複数の組織のメンバーである場合に、脆弱性を開くと403エラーが発生することがある。(TS-21471)
アクティブな攻撃の「終了」を識別できない場合がある。この問題によって、以前の攻撃が「終了」となっていない場合に、検索画面内で検索結果が得られない。(TS-21406)
バグ管理システムとのインテグレーションで、チケットの自動作成に失敗した場合に利用不可であることが認識されない。(TS-21611)
11月(3.9.10)
Contrast 3.9.10のオンプレミス版が、 2022年12月14日にリリースされました。3.9.10のドキュメントをPDFでダウンロードできます。
バージョン3.9.10より、ContrastインストーラにSCAライブラリデータが含まれなくなりました。SCAライブラリのデータを含めないことで、バイナリサイズを大幅に削減し、オンプレミス版のインストールを改善しました。
エアギャップでのインストールの場合は、このデータを手動でダウンロードする必要があります。
インターネットに接続できる場合は、このデータを自動で更新するようにシステムを設定できます。
新機能と改善点
Contrast AssessのGoエージェントでChiフレームワークをサポートするようになりました。(PROD-2312)
ContrastのSecure Codeラーニングハブを表示する
contrast learnコマンドが、Contrast CLIに追加されました。(PROD-2306)脆弱性一覧のタグの扱いを改善し、脆弱性に付けられたタグの数によって脆弱性の名前が隠れないように、表示方法を改善しました。(TS-19594)
セキュリティに関する修正
API Playgroundに認証および承認を追加(COMP-261)
Contrast CLI にコマンドインジェクションに対するパッチを適用(COMP-249)
修正された不具合
SSO使用時にContrastのオンプレミス版でユーザをロックまたはロック解除できない(TS-21171)
10月(3.9.9)
Contrast 3.9.9のオンプレミス版が、 2022年11月18日にリリースされました。3.9.9のドキュメントをPDFでダウンロードできます。
新機能と改善点
Goエージェントは、Go 1.19をサポートするようになりました。(PROD-2299)
SCA(SBOMを含む)とスキャン機能を改善した、新しいContrast CLIをリリースしました。(PROD-2275)
メッセージキューに例外を設定できるようになりました。(PROD-2089)
JMS MQのメッセージキューをサポートするようになりました。IBM MQ 9.2.xとSpring JMS 2.4を含む、JMS 2.0に対応しています。現在ご利用の環境でこの機能を有効にするには、カスタマーサービス担当者にご連絡ください。(PROD-1846)
.NET Coreエージェントは、.NET 7をサポートするようになりました。(PROD-1819)
ルート一覧と脆弱性一覧画面に、セッションメタデータフィルタを実装しました。特定のブランチ、ビルド、コミットしたユーザ、リポジトリや、ユーザが選択したカスタムのセッションメタデータなどで絞り込んで、脆弱性やルート情報を表示できます。(PROD-1698)
RubyエージェントとPythonエージェントで、セキュリティ検査からイベントを制御するために、入力およびURLによる例外を作成できる機能を実装しました(.NETとJavaでは既にサポートしています)。これにより、パフォーマンスと精度が向上するようになりました。(PROD-1034、PROD-1035)
セキュリティに関する修正
BIRTレポートを有効にする機能フラグ(TS-20400_enable_birt-reporting)を追加。Contrastのオンプレミス版のセキュリティ上の問題の懸念がある場合は、無効にする(falseを設定)ことができます。(TS-20400)
修正された不具合
アプリケーションの例外を保存するときにInternal Serverエラーが発生する。(TS-20557)
必要な権限がないユーザにもルートカバレッジの除外アイコンが有効になり、クリックすると403エラーになる。(TS-19873)
9月(3.9.8)
Contrast 3.9.8のオンプレミス版が、 2022年10月19日にリリースされました。3.9.8のドキュメントをPDFでダウンロードできます。
新機能と改善点
.NET Frameworkおよび.NET Coreエージェントのインストーラに、「Agent Explorer」が含まれるようになりました。これは、個別のGUIアプリケーションであり、ローカルで実行されている.NETエージェントに関する概要情報を参照することができます。「Agent Explorer」を使用して、以下のような情報を概要レベルで参照できます。
エージェントから報告されるアプリケーションとサーバ
エージェントの設定
エージェントのバージョン、言語、ランタイム
IISおよび/またはIIS Expressにデプロイされ、エージェントが組み込まれているアプリケーションの一覧
(PROD-2271)
プルリクエストのオープンソースの依存関係を自動的に検査するSCAのContrast GitHub Actionを新規にリリースしました。(PROD-2126)
Generic Webhookのインテグレーションに、ユーザがAPIやContrast Webインターフェイスを使用して脆弱性を削除するたびにトリガーされる
VULNERABILITY_DELETEという新しいイベントを追加しました。こちらのサポート記事を参照ください。(PROD-2124)Contrastのオンプレミス版にて、スーパー管理者(SuperAdminユーザ)は、EOP起動時にJVM 引数でプロキシの設定を指定できるようになりました。(PROD-1841)
Generic Webhookのインテグレーションで、シークレットを設定できる機能を追加しました。こちらのサポート記事を参照ください。(PROD-1840)
SaaS版のお客様には、組織レベルでなりすましアクセスの有効・無効を設定するオプションが利用できるようになりました。この機能は、システム管理者または組織管理者のAPIから変更します。なりすまし機能は、デフォルトでオフになっています。(PROD-1807)
3.9.7および3.9.8のリリースで新しいAPIを作成しました。指定したセッションに関連する、アプリケーションの脆弱性やルートカバレッジデータをユーザがより簡単に特定できるようになりました。セッションを呼び出すには、セッションメタデータの設定が必要です。
agentSessionIdでアプリケーションの脆弱性にフィルタを適用: https://github.com/Contrast-Security-OSS/contrast-teamserver-api-docs/blob/main/saas-restapi-v3/application/Application%20Vulnerability%20Filtering/9a363fa74f0ebb6dee94af6b2658ad27.md
agentSessionIdでルートカバレッジ一覧を取得: https://github.com/Contrast-Security-OSS/contrast-teamserver-api-docs/blob/main/saas-restapi-v3/coverage/Route%20coverage/58f5d8f0b42bf18432646d37fb05eeee.md
最終的に、セッションごとに脆弱性やルート情報を返すには、agentSessionIdが必要となります。IDは、最初のコールまたは2番目のコールで返すことができます。最初のコールでは、指定されたセッションメタデータ値に対する全てのセッションが返されます。以下のように、メタデータのラベルと値を追加する必要があることに注意してください。
% curl -X POST 'https://apptwo.contrastsecurity.com/Contrast/api/ng/organizations/3c3a73d6-78a0-46c7-944a-b07b94d557f1/applications/2a0b1763-9314-4b55-a946-031d2741d628/agent-sessions/filter' \ -HAccept:application/json \ -H "Content-Type: application/json" \ -HAuthorization:REDACTED \ -HAPI-Key:REDACTED \ -d '{"metadata": [ {"label": "branchName", "values": ["test-branch"]}, {"label": "committer", "values": ["Some Dev", "Another Dev"]} ]}'
2番目のコールで、最新のセッションが返されます。フィルタは不要です。以下を参照してください。
curl 'https://apptwo.contrastsecurity.com/Contrast/api/ng/organizations/3c3a73d6-78a0-46c7-944a-b07b94d557f1/applications/2a0b1763-9314-4b55-a946-031d2741d628/agent-sessions/latest' \ -HAccept:application/json \ -HAuthorization:REDACTED \ -HAPI-Key:REDACTED
agentSessionIdを使用すると、ルートや脆弱性の呼び出しにフィルタをかけて、そのセッションのデータのみを取得することができます。これらのAPIにより、セッションベースのデータに容易にアクセスできるようになり、ビルドのゲート化や、ビルド固有のデータに基づいた別の解析を実行できるようになります。(PROD-1698)
PHPエージェントは、PHP 8.1をサポートするようになりました。(PROD-1657)
マージされたアプリケーションの依存関係ツリーを表示して、マージされたアプリケーションでどのように脆弱なライブラリが使用されているかを確認できるようになりました。(PROD-953)
ライブラリ検索で、CVE番号でライブラリを検索できるようになりました。(PROD-765)
Jiraと連携する脆弱性を送信画面にて、報告者フィールドとデフォルトの担当者を選択するオートコンプリート機能のパーフォマンスを改善しました。(CUST-3292)
修正された不具合
オンプレミス版で発生したヒープ枯渇を防止するため、機能キー( vulnerability_uuidなど)の文字列連結方式を変更しました。(TS-19909)
オンプレミス版でカスタムフッターを作成する際に利用できるスタイルオプションを追加し、サイズをより細かく制御できるようにしました。(TS-19891)
脆弱性の一覧画面で脆弱性の深刻度が変更された場合も監査ログに記録されるようになりました。これまでは、ポリシー管理ページで変更された場合のみ監査ログに記録されていました。(TS-19129)
クリックジャッキングの脆弱性の「修正方法」がより明確になるよう更新しました。(TS-18828)
オンプレミス版のインストーラを修正し、アップグレード時に既存のJREとメモリの設定が引き継がれるようしました。(TS-19726)
エージェント設定ファイルから、Protectの有効化の設定が削除された場合にProtectが再有効化されないように修正しました。(TS-17755)
8月(3.9.7)
Contrast 3.9.7のオンプレミス版が、 2022年9月21日にリリースされました。3.9.7のドキュメントをPDFでダウンロードできます。
新機能と改善点
ライブラリの修復において、管理者権限の無いユーザが脆弱性をクローズする際に、管理者の承認が必要になりました。(PROD-1939)
ライブラリの検査結果を環境ごとにフィルタリングできるようになり、本番環境にある脆弱なライブラリを見つけやすくなりました。(PROD-1884)
組織レベルで、なりすましアクセスの有効・無効を設定するオプションが利用できるようになりました。この機能は、システム管理者または組織管理者のAPIから変更します。なりすまし機能は、デフォルトでオフになっています。(PROD-1807)
ライブラリのエクスポートで、CSV/XML ファイルにポリシー違反の情報が含まれるようになりました。(PROD-1771)
Goエージェントに診断ツールを作成し、トラブルシューティングチケットを送信する際に、ユーザが簡単に診断情報を収集して送信できるようにしました。(PROD-1765)
脆弱性のバーンダウンデータを12カ月までの任意の期間で選択できるフィルタを追加し、脆弱性や修復の情報を含む、アプリケーションのデータトレンドを時系列で確認できるようにしました。(PROD-1700)
PHPエージェントは、AssessとSCAでDrupalバージョン8と9をサポートするようになりました。(PROD-1527)
データを可視化する新しいモジュールを追加し、脆弱性のクローズ数とオープン数に関する重要なデータを時系列で表示できるようにしました。このモジュールは、ご要望頂いた場合に、フラグをオンにすることで機能が有効になります。なお、Contrast Webインターフェイスに反映される脆弱性のステータスは、Contrastでのデータと同じになりますので、脆弱性管理方法(手動での脆弱性クローズや双方向のバグ管理システムの連携など)や自動検証のポリシーが採用されているかについてはご確認ください。(PROD-897)
セキュリティに関する修正
.NETライブラリの重複排除を改善(OSS-2156)
修正された不具合
APIエンドポイント/
api/ng/<ORGID>/orgtraces/filter?status=CONFIRMEDが400ステータスコードを返す。(TS-18720)マージされたアプリケーションの削除に失敗することがある。(TS-18490)
脆弱性間のページのナビゲーションが欠けている(例えば、「< 29件中3件目 >」)。(TS-13528)
脆弱性の一括削除時に「リクエストを実行できません。」のエラー が発生する場合がある。(TS-17298)
脆弱性の環境フィルタで表示される脆弱性数が正しくない。(TS-14346)
バックエンドからデータを取得するタイムアウトにより、一部のNodeライブラリの情報が取り込まれないことがある。(OSS-3158)
エクスポートに.NETライブラリの情報が含まれない。(OSS-3153)
7月(3.9.6)
Contrast 3.9.6のオンプレミス版が、 2022年8月24日にリリースされました。3.9.6のドキュメントをPDFでダウンロードできます。
重要
MySQL 5.7のサポートが、2022年8月31日に終了します。それ以降、ContrastシステムにはMySQL 8.0が必要になります。
Contrast Securityは、 MySQL 5.7を使用している旧バージョンのContrastサーバのサポートや、それらのバージョンでの重大なバグの修正を行わなくなります。
オンプレミス版のお客様で、独自のMySQLインストールを使用している場合は、Contrastサーバをアップグレードする前にMySQLを8.0にアップグレードする必要があります。
ContrastインストーラにバンドルされているMySQLのインスタンスを使用しているオンプレミス版のお客さまは、Linux版3.9.0およびWindows版3.9.3用のインストーラを実行すると、自動的にMySQL 8.0にアップグレードされます。
Linuxでのインストールでバンドル版のMySQLを使用している場合、何もする必要はありませんが、インストール先のプラットフォームがドキュメントに記載されているシステム要件を超えないようにしてください。
新機能と改善点
システム管理やスーパ管理者レベルの活動に関して、組織の監査に利用できるログを拡張しました。
マージしたアプリケーションの親アプリケーションについて、一覧のフィルタを使用して、どの脆弱性とルートがどの子アプリケーションに関連付けられているかが表示されるようになりました。これにより、子アプリケーションに関連する脆弱性とルート情報のトリアージや分析が容易になります。
.NET用の新しい診断ツールを使用すれば、トラブル発生時にyamlの設定や環境変数から簡単に情報を取集・送信して迅速なサポートを受けることができるようになりました。
マージされたアプリケーションの子アプリケーションに関して、脆弱性、ライブラリ、ルートの可視性を向上しました。脆弱性とルートカバレッジの一覧にアプリケーションフィルタを追加しました。(TS-12586、TS-12587、TS-12588)
アプリケーションの脆弱性タブで、脆弱性にメタデータが含まれたセッションが多数ある場合のパフォーマンスを改善しました。(TS-17228)
セキュリティに関する修正
多要素認証がバイパスされる可能性がある問題を解決(TS-17065)
ジョブIDが推測可能か既知の場合に、どのユーザでもジョブの進捗を確認できるIDOR(安全でない直接オブジェクト参照)を解決(TS-17303)
修正された不具合
LDAPまたはADを使用している場合、新規ユーザの作成に失敗し、「Invalid Form」エラーが発生する。(TS-18612)
サーバがオフラインになると、1度だけでなく毎時間ユーザに通知される。(TS-18094)
オープン中の脆弱性を全てクローズにすると、ドロップダウンのオプションがなくなり、その後に表示できなくなる。(TS-17883)
接続が設定されていない子アプリケーションで「バグ管理システムへ送信」が機能しない。(TS-17715)
6月(3.9.5)
Contrast 3.9.5のオンプレミス版が、 2022年7月20日にリリースされました。3.9.5のドキュメントをPDFでダウンロードできます。
重要
MySQL 5.7のサポートが、2022年8月31日に終了します。それ以降、ContrastシステムにはMySQL 8.0が必要になります。
Contrast Securityは、 MySQL 5.7を使用している旧バージョンのContrastサーバのサポートや、それらのバージョンでの重大なバグの修正を行わなくなります。
オンプレミス版のお客様で、独自のMySQLインストールを使用している場合は、Contrastサーバをアップグレードする前にMySQLを8.0にアップグレードする必要があります。
ContrastインストーラにバンドルされているMySQLのインスタンスを使用しているオンプレミス版のお客さまは、Linux版3.9.0およびWindows版3.9.3用のインストーラを実行すると、自動的にMySQL 8.0にアップグレードされます。
Linuxでのインストールでバンドル版のMySQLを使用している場合、何もする必要はありませんが、インストール先のプラットフォームがドキュメントに記載されているシステム要件を超えないようにしてください。
新機能と改善点
ContrastでJiraチケットを自動作成する場合に、オプションとしてエピックでチケットを作成できるようになりました。
ルートベースの自動検証が有効な場合、脆弱性のステータスが正しい順序で報告されるようになりました。
Contrast .NETエージェントのAzure拡張機能が、Azure Functionsをサポートするようになりました。
Contrast APIのドキュメントに、https://api.contrastsecurity.comからアクセスできるようになりました。
Contrast ScanのGitHub Actionがスターターワークフローとして利用できるようになりました。
セキュリティに関する修正
LDAPの設定(機密情報)に関するログ出力を削除(TS-17304)
ユーザの姓/名に対してより厳格な検証を追加(TS-17357)
組織レベルの認可を確認するために、いくつかのAPIで認可チェックを更新(TS-17462)
X-XSS-Protectionレスポンスヘッダの値を更新(TS-17305)
依存関係Okioを3.1.0に更新(TS-16064)
修正された不具合
特殊文字が原因で「Invalid Form」エラーとなりユーザを更新できない(TS-17494)
Jiraのインテグレーション定義で、割当先フィールドにユーザを指定すると保存できない(TS-17716)
一部のアプリケーションで攻撃イベントのロードが遅くなる(TS-17565)
Contrast Webインターフェイスのグローバル検索で、検索結果からライブラリを選択するとフリーズする(TS-17405)
URLの例外定義でエスケープにスラッシュ
\を3つ以上使用できない(TS-17064)WindowsでのEOPインストーラが、デフォルトではないデータベースディレクトリを設定すると失敗する(TS-16954)
/route/filterエンドポイントでsession_metadataに期待する結果が返らない(TS-16610)セキュリティ制御の追加時に一部の有効なAPI署名が許可されない(TS-15919)
Contrast Webインターフェイスで環境毎に脆弱性が正確にフィルタされない (TS-15470)
通知の設定をしていないアプリケーションで「新しいサーバ」の通知が送信される(TS-1415)
Contrast Webインターフェイスで過剰なタグがあるとサーバタブのロードが遅くなる(TS-17442)
Contrast Webインターフェイスで攻撃の概要にある合計数が正しくない(TS-16058)
5月(3.9.4)
Contrast 3.9.4のオンプレミス版が、 2022年6月24日にリリースされました。3.9.4のドキュメントをPDFでダウンロードできます。
重要
MySQL 5.7のサポートが、2022年8月31日に終了します。それ以降、ContrastシステムにはMySQL 8.0が必要になります。
Contrast Securityは、 MySQL 5.7を使用している旧バージョンのContrastサーバのサポートや、それらのバージョンでの重大なバグの修正を行わなくなります。
オンプレミス版のお客様で、独自のMySQLインストールを使用している場合は、Contrastサーバをアップグレードする前にMySQLを8.0にアップグレードする必要があります。
ContrastインストーラにバンドルされているMySQLのインスタンスを使用しているオンプレミス版のお客さまは、Linux版3.9.0およびWindows版3.9.3用のインストーラを実行すると、自動的にMySQL 8.0にアップグレードされます。
Linuxでのインストールでバンドル版のMySQLを使用している場合、何もする必要はありませんが、インストール先のプラットフォームがドキュメントに記載されているシステム要件を超えないようにしてください。
新機能と改善点
Contrast ScanのGitHub Actionは、コードのプッシュやプルリクエストごとに.NETとJavascriptのプロジェクトを自動的にスキャンできるようになりました。
Javaエージェントのインストールで
standalone_app_nameの設定は必要なくなりました。Contrastは、30分ごとに新規および更新されたCVEをチェックするようになりました。
SBOMレポートがSPDX形式をサポートするようになりました。
Webインターフェイスのルートカバレッジを見やすくするために、表示されるサーバ数を減らし、サーバの一覧から削除されたサーバを表示しないようにしました。
セキュリティに関する修正
依存関係Okioを更新(TS-16476)
セッションフィクセイションに関する問題を解決(TS-16447、TS-16684)
修正された不具合
アプリケーションのダッシュボードで脆弱性タブを開けない(SUP-3764、SUP-3787)
アプリケーションの概要ページと脆弱性ページで脆弱性数が一致しない(SUP-3776)
大量の脆弱性インスタンスがあるアプリケーションのライセンス付与でエラーが発生する(SUP-3799)
Contrast Python SDKを使用時に400 Bad Requestエラーとなる(SUP-3721)
Contrast(オンプレミス版)ログイン時に403エラーが断続的に発生する(SUP-3696)
SaaS版の一部の環境で新しい脆弱性の通知が送信されない場合がある(SUP-3813)
オープン可能なファイル数の制限によりオンプレミス版のContrastサービスがクラッシュする(TS-16887)
権限が制限されているユーザでもルートの削除が可能であるかのように表示される(SUP-3742)
Microsoft Teamsとのインテグレーションで、環境によるフィルタが正しく処理されない(SUP-3730)
ライセンスなしのアプリケーションのスコアが表示されていない(SUP-3675)
オンプレミス版のWARデプロイメントではAPIドキュメントが利用できない(SUP-3575)
4月 (3.9.3)
Contrast 3.9.3のオンプレミス版が、 2022年5月17日にリリースされました。3.9.3のドキュメントをPDFでダウンロードできます。
新機能と改善点
オンプレミスのWindows版をご利用のお客様は、 MySQL 8が組み込まれたバージョン3.9.3のContrastにアップグレードできます。
サーバクリーンアップの実行時にライブラリデータを保持するかどうかを設定できるようになりました。サーバクリンアップ時に、ライブラリデータを保持したい場合は、サーバの設定を有効にしてください。
ルートIDによってルートを除外する場合や、複数ルートのフィルタによってルートを除外する場合に、脆弱性をクローズする必要がなくなりました。
JNDIインジェクションの脆弱性を特定するための新しいAssessルールが追加されました。これにより、Contrast AssessでLog4jの脆弱性を検知するカバレッジがより完全になりました。
マージしたアプリケーションで親アプリと子アプリのトリアージと分析がより簡単に、効率的になりました。
個々の子アプリのルートカバレッジ、スコア、言語情報が表示されます。
“coverage”と“scores”パラメータで子アプリの情報を返す
/modulesのエンドポイントには、親アプリの情報も含まれるようになりました。ルートカバレッジ、脆弱性、アプリケーションページにも子アプリの情報に関する別の列が表示されるようになりました。
CVSSは、CVEの深刻度を報告するため使用されます。CVSS 3.1が最新の標準となっています。Contrastは、CVSS 3.1に対応するようになりました。CVSS 3の評価基準を有効にするようにサポートにご依頼頂ければ、全てのCVEが直ちに更新されます。
セキュリティに関する修正
古くなったBouncy Castleの暗号ライブラリを更新(TS-11188)
修正された不具合
quickFilterパラメータを使用したAPIレスポンスで除外されたルートが表示される(SUP-3739)サーバを削除して再度有効にするとJavaエージェントの起動に失敗する(SUP-3703)
作成画面で割当先を指定しない場合にJiraプロジェクトに脆弱性を送信できない(SUP-3553)
Jiraのインテグレーション設定でアプリケーションの重要度を指定した場合に対象外のアプリケーションにも表示される(SUP-3603)
Windowsオンプレミス版の.NET FrameworkエージェントにバンドルされているYAMLファイルに不正な改行が入っている(SUP-3689)
Contrast Webインターフェイスのサーバページのアプリケーション列にあるフィルタで、マージされたアプリケーションがアルファベット順にソートされていない(SUP-3449)
検出されたAPIエンドポイントが疎通済ルートより少なくなることがある(SUP-3439)
名前を変更したサーバ名が脆弱性フィルタに表示されない(SUP-3048)
3月 (3.9.2)
Contrast 3.9.2のオンプレミス版が、 2022年4月13日にリリースされました。3.9.2のドキュメントをPDFでダウンロードできます。
重要
Contrast 3.9.2のオンプレミス版は、Linuxのみのリリースとなります。
Spring4Shellは大規模で影響が大きい脆弱性ですが、この脆弱性の最新情報については、こちらのサポート速報をご覧ください。ご質問やご不明な点がございましたら、support@contrastsecurity.comまでお問い合わせください。
2022夏の終わり頃までに、Python、 Go、Ruby、Node.jsエージェントでContrastサービスが不要になります。Contrast Node.jsエージェントのバージョン3.xは、2022年6月にサポート終了(EOL)となる予定です。
新機能と改善点
ContrastにPHPエージェントが追加されました。
Goエージェントでは、Contrastに直接レポートするように エージェントを設定 できるようになり、Contrast サービスをインストールする必要がなくなりました。Contrastエージェントのインストールとメンテナンスの簡素化に加え、
google.golang.org/grpcモジュールで書かれたgRPC APIでの脆弱性の検出がサポート対象になりました。Javaエージェントには、「Class Loader Manipulation(Class Loaderを操作される脆弱性)」のProtectルールが新規に追加され、Spring4Shellなどの攻撃に対する強化が加わりました。
LDAPやActive DirectoryのIDストアが接続の問題で利用できない場合、ローカルのContrast データベースにアカウントがあるSuperAdminユーザがシステムにログオンできるようになりました。
Contrast Serverlessは、Jiraとネイティブなインテグレーションが可能になり、開発チーム間でより一貫して脆弱性に対処できるようになりました。
レポートの作成では、最新のOWASP APIコンプライアンス基準に対応しているかをより簡単に確認できるようになりました。セキュリティ基準レポートとコンプライアンス対応レポートの作成時に、OWASP Top 10 2021も表示されるようになりました。
修正された不具合
フィールドが空のままだとJiraとのインテグレーションの読み込みに失敗する(TS-15606)
Contrast Webインターフェイスでアプリケーションの全てのルートを除外するとルートを再度追加する機能がなくなる(TS-15299)
セキュリティ基準レポートとコンプライアンス対応レポートの生成に失敗する(TS-15680)
500エラーコードのため一部の脆弱性がContrast Webインターフェイスでロードできない(TS-13242)
Contrast Webインターフェイスで1つのアプリケーションからライブラリをエクスポートすると全てのライブラリがエクスポートされる(OSS-2632)
コンプライアンスポリシーを有効にした後Contrast Webインターフェイスでアプリケーションページがレンダリングできない(TS-13677)
Jiraの双方向インテグレーションでJiraからのステータス変更が同期されない(INT-1136)
セキュリティに関する修正
古いライブラリを更新しました:
common-compress、aws-java-sdk-s3、xmlsec、jQuery、bootstrap、tomcat、Springなど。認証エラーのメッセージをより曖昧にして具体性をなくしました。
Elasticsearchライブラリとその利用を削除しました。
MySQL Connectorを入れ替えました。
2月(3.9.1)
Contrast 3.9.1のオンプレミス版が、 2022年3月16日にリリースされました。3.9.1のドキュメントをPDFでダウンロードできます。
重要
Contrast 3.9.1のオンプレミス版は、Linux版のみのリリースとなります。
新機能と改善点
マージされたアプリケーションでも完全なSBOMレポートを作成できるようになりました。
Contrast .NET Coreエージェントは、GraphQL APIを計測できるようになりました。
Contrast VerifyはGitHub Actionsで、プルリクエストで新たな脆弱性が発生していないことを確認できます。入力パラメータで定義した脆弱性のしきい値やジョブ結果ポリシーに対してチェックを行います。GitHub Marketplaceで入手できます。
セキュリティに関する修正
common-compressライブラリをアップグレードしました。 (TS-14042)mysql-connector-javaライブラリをアップグレードしました。(TS-13173)aws-java-sdk-s3ライブラリをアップグレードしました。(TS-13174)認証失敗ユーザのシステムメッセージを削除しました。(TS-12979)
オンプレミス版のTomcatを9.0.55にアップグレードしました。(TS-12930)
ContrastHubのライブラリ(jQuery、jQuery-UI、bootstrap)をアップグレードしました。(TS-11370)
修正された不具合
特定のアプリケーションで「新しいアセット」の通知を有効にすると、その範囲外で新規にオンボードされたアプリケーションに対しても通知が送信されていた(TS-14150)
APIのみ利用のユーザがAPIコールをする時に、そのユーザの「前回のログイン」のタイムスタンプが入力されない(TS-13290)
「Contrastを検索」のフィールドに入力したままで、特定の操作をした場合、検索フィールドをクリアするための“X”が機能しなくなる(TS-13519)
1月(3.9.0)
Contrast 3.9.0のオンプレミス版が、 2022年3月1日にリリースされました。3.9.0のドキュメントをPDF でダウンロードできます。
重要
新機能と改善点
エージェントのインストールと設定を簡単にする新しいツールがベータ版としてリリースされました。Contrastエージェント設定エディタは、YAMLをチェックし、エージェントタイプに応じた適切な設定を推奨することで、ゼロからYAML設定ファイルを作成できます。また、既存のYAMLをアップロードして、編集・検証したり、ローカルで使用する新しいファイルをダウンロードすることもできます。詳細はこちらを参照ください。
ContrastのWebインタフェースから.NET Coreエージェントをインストールする手順が更新されました。ワークフローがより明確になり、カスタムフィールドが使用できるようになりました。
ContrastのWebインターフェイスからダウンロードできるのは、.NET Frameworkと.NET CoreエージェントのIIS用インストーラのみとなります。その他のエージェントについては、各エージェントの手順を参考に、各パッケージマネージャを使用してインストールする方法をご確認ください。
セキュリティに関する修正
Contrast Hubの
aws-java-sdk-s3をアップグレードし、サブ依存関係にあるjackson-dataformat-cborの2.6.7のCVE-2020-28491を修正しました。 (TS-13174)反射型XSSの脆弱性を回避するために、Contrast Hubのjquery、jquery-ui、Bootstrapライブラリをアップグレードました。(TS-11370)
commons-compress.jarをアップグレードしました。(TS-11190)
サーバのエージェントログファイルへの無制限の書き込み機能を無効にしました。(TS-10262)
Community Editionおよびホスト型(SaaS版)サーバにおいてTLS1.0の非推奨に対応しました。(PROD-341、PROD-1591)
修正された不具合
反射型XSSのルールが「中」の深刻度としてではなく誤って「重大」に分類される(PROD-1350)
Jiraへのリクエストを認証すると401エラーが返される(SUP-3374)
サーバタブでサーバにカーソルを合わせると、コンテナが「不明」と表示される場合がある(TS-11544)
組織でコンプライアンスポリシーが有効になっている場合に、アプリケーションページのロードに失敗する(TS-12607)
Contrast Python SDKから返される脆弱性にフィルタをかけるために
quick_filterパラメータを使用すると、500エラーが発生する(INT-1049)脆弱性のサブセットをCSVにエクスポートすると、結果ファイルに誤った検出結果が含まれる場合がある(TS-13567、TS-13635)
アプリケーションの脆弱性を環境でフィルタをかけると、削除されたサーバに関連する脆弱性が誤って表示される(TS-13203)
12月のリリース情報(3.8.11)
12月(3.8.11)
Contrast 3.8.11のオンプレミス版が、 2022年1月11日にリリースされました。3.8.11のドキュメントをPDF でダウンロードできます。
重要
Contrastのオンプレミス(EOP)版をご利用の全てのお客様は、Contrastのバージョン 3.8.10.1596449597以上にアップグレードしてください。ContrastアプリケーションへのLog4jの影響に関する最新情報については、こちらのサポート速報をご覧ください。
Contrast Serverlessが正式にリリースされました。AWS Lambda環境における、動的スキャン、静的スキャン、グラフによる可視化、リソースの可観測性などの機能があります。
Contrast Scanで、 jQueryを含むクライアントサイドJavaScriptがサポート対象となりました。Javaファイルのスキャンに加えて、JSファイルをスキャンして脆弱性を検出できるようになりました。
Javaエージェントが、Scalaアプリケーションをサポートするようになりました。
PythonとRubyの両エージェントは、各言語のLTSポリシーに合わせてサポート対象が更新されました。
全ての脆弱性をシンクごとにグループ化できるようになりました。特定の脆弱なシンクに関連するコードを修正することで、そのシンクに関連付けられたすべての脆弱性を修正することができます。効率的な修正方法です。
3.8.10の初期バージョンのオンプレミス版のインストーラがMySQL 8xデータベースへの接続に失敗する(TS-13325)
「信頼できないデータのデシリアライゼーション」に対する例外ルールがContrastのWebインターフェイスで正しく保存されない場合がある(TS-13144)
セッションベースの自動検証で、一部の脆弱性が修復済 - 自動検証になった後報告済に戻る(TS-12947)
アクティビティが7日未満のサーバで合計URL数が不正確だった(TS-12919)
Protectが既にエージェントで有効になっているのに、サーバに誤って「Protect is Coming」というメッセージが表示される (TS-12424)
WebhookがContrast Webインターフェイスのプロキシ設定を使用していなかった(INT-915)
脆弱性のタイムラインの図で、マージされたアプリケーションの脆弱性の数が誤って表示される(TS-10461)
CSVインポートで脆弱性のマッピング情報が読み込まれない(OSS-2518)
11月(3.8.10)
Contrast 3.8.10のオンプレミス版が、 2021年11月30日にリリースされました。3.8.10のドキュメントをPDF でダウンロードできます。
新機能と改善点
Node.jsの例外のルールを更新しました。
Ruby、Python、Goでのインストールプロセスを簡略化しました。各パッケージマネージャで最新のエージェントバージョンを取得できます。
より効率的なネイティブ関数とデッドゾーン化により、Node.jsエージェントのパフォーマンスを改善しました。
修正された不具合
脆弱性オプションの「バグ管理システムへ送信」を選択しても画面が開かない(TS-12455)
「グループ名は既に使用されています」というエラーが発生しグループの編集ができない(TS-12428)
組織でコンプライアンスポリシーが設定されている場合に、アプリケーションページをロードできない(TS-12718)
サーバのアクティビティグラフが表示されない(TS-12572)
脆弱性タブの環境によるフィルタが正しく行われない(TS-12542)
大量のアプリケーションと関連付けられているユーザの場合にユーザの編集ページがタイムアウトする(TS-12456)
コンプライアンス対応レポートの生成に失敗する場合がある(TS-11769)
サーバの自動クリーンアップ後にProtectライセンスがサーバに自動的に適用されない(TS-11375)
サーバ数が多い場合にサーバページのロードと検索に時間がかかる(TS-10249)
2021年10月(3.8.9)
オンプレミス版リリース: 2021年11月2日 (3.8.9.5のドキュメントをPDFでダウンロードできます)
SaaS版リリース: 随時
新機能と改善点
.NET Coreエージェントで信頼境界線違反の脆弱性を検出・報告できるようになりました。この新しいルールの深刻度は「中」です。
パフォーマンスの向上のために、Contrastが提供するデフォルトの設定を最適化しました。深刻度が「中」である、「ハードコードされたパスワード」と「ハードコードされた暗号鍵」のルールはデフォルトでは無効になります。必要に応じてルールを有効にして、より包括的なセキュリティテストを行うことができます。
Node.jsエージェントで、Node 16 LTSで実行されるアプリケーションをサポートするようになりました。
Javaエージェントを追加するためのWebインターフェイスを改善し、Javaエージェントの取得・インストールをより簡単にしました。
重要なお知らせ
9月(3.8.8)のリリースで、8つの指定IPアドレスへの移行をお知らせしました。この移行は完了しておりますが、お客様が新しい認証局(CA)であるGlobalSignに更新する間、以前のIPアドレスのサポートを延長致します。固定IPの完全な実装には、認証局の更新が必要な場合があります。ご不明な点がありましたら、support@contrastsecurity.comまでお問い合わせください。
今月リリースされたエージェントのバージョン
表示されている最新バージョンが、オンプレミス版にバンドルされています。
セキュリティに関する修正
この1ヶ月間で、以下のセキュリティ関連の不具合が修正されました。
ライブラリの更新(TS-11185、TS-11190、TS-11191、TS-11189)
ブルートフォースログインの問題(TS-11142)
修正された不具合
この1ヶ月間で、以下の不具合が修正されました。
コンプライアンス対応レポートの生成に失敗するか、カスタムコードの脆弱性が含まれないで生成される(TS-12126)
アクティブなエージェントがある場合にContrast Webインターフェイスでアプリケーションのリセットに失敗することがある(TS-11553)
脆弱性のマージボタンが選択できない(TS-11571)
脆弱性ページで項目数が多い場合にパフォーマンスが低下する(TS-10374、TS-9839)
アプリケーションのメタデータが事前に設定されている場合にJavaエージェントのYAMLダウンロードが失敗する(TS-10132)
アプリケーションを疎通してもURLの数がゼロのままである(TS-11939)
アーカイブ済のアプリケーションで脆弱性の数を選択すると403エラーが発生する(TS-10767)
2021年9月(3.8.8)
オンプレミス版リリース: 2021年10月5日(3.8.8.4のドキュメントをPDFでダウンロードできます)
SaaS版リリース: 随時
新機能と改善点
レポートのメニューからSBOM(ソフトウェア部品表)をダウンロードできるようになりました。
Javaアプリケーションのスキャンや、CIパイプラインでのスキャンの自動化がCLIから直接できるようになりました。
.NET Frameworkエージェントと同様に.NET Coreエージェントも、エージェントを組み込んだアプリケーションで格納型XSS(Stored XSS)の脆弱性を検出・報告するようになりました。
Contrastのオンプレミス版をエアギャップ環境でお使いの場合や、Contrastドキュメントへの代替アクセスをご希望の場合は、上記のリリース情報からバージョン管理されたContrastドキュメントのPDF版が利用可能になりました。
Go 1.17のサポートが追加されました。
重要なお知らせ
9月17日から、SaaS版のContrastは8つの固定IPアドレスを使用しますので、システム管理者の方はこれらのアドレスに許可を与えてください。これはユーザのアクセスやエージェントの通信に影響します。
10月31日をもって、すべての通信がこれらのアドレスに変更されますので、以後はAmazon IPアドレスを許可する必要はなくなります。
現在、オンプレミス版のContrastにMySQL8をバンドルする移行作業として、さらに品質改善のテストを行っています。これは以前に3.8.8の情報として発表された内容に関するものですが、将来のリリースに延期されています。
今月リリースされたエージェントのバージョン
表示されている最新バージョンが、オンプレミス版にバンドルされています。
セキュリティに関する修正
この1ヶ月間で、以下のセキュリティ関連の不具合が修正されました。
連続して発生したログイン失敗回数がカウントされない(COMP-60)
Teamserverで古い脆弱なライブラリである
spring-web-5.2.9.release.jarとvelocity-engine-core-2.0.jarが利用されている(COMP-54)エラーメッセージに含まれるApache Tomcatのバージョン番号により、潜在的な攻撃者に情報を与えている可能性がある(COMP-53)
ログインプロセス中のユーザ列挙に対してアプリケーションが脆弱(COMP-38)
修正された不具合
この1ヶ月間で、以下の不具合が修正されました。
masterをprimaryに変更するのは、下流の連携部分に影響があり重大な変更となった(変更はmasterに戻した)フィルタ一覧に
buildNumberのフィルタが含まれていないためフィルタできない(TS-11484、6618)JiraでContrastからチケットをログに記録する際にバージョンピッカーのカスタムフィールドを使用するとエラーメッセージになる(INT-853)
ServerEnvironmentフィルタにより500エラーが発生する(INT-805)Contrast Webインターフェイスでサーバのサンプリングを更新すると、設定の保存でエラーとなる(TS-10765)
デフォルトでONに設定されたルールによりパフォーマンスが低下する(TS-7939)
攻撃数が多い場合に、攻撃タブを選択すると504エラーが発生する(TS-10691)
2021年8月 (3.8.7)
オンプレミス版リリース:2021年9月8日
SaaS版リリース: 随時
新機能と改善点:
Contrast Scanでは、テスト環境のセットアップやエージェントをインストールしなくても、ビルドした成果物をテストすることができます。SaaS版のContrastを使用しているお客様は、ビルド成果物のアップロードにより、脆弱性のテストおよびコンプライアンスベースのセキュリティテストができます。MavenMavenビルド、Java SDK、CLIコマンド、APIおよびContrast Webインターフェイスからスキャンができます。
同じシンクから発生する脆弱性のサブセット(1つまたは複数のアプリケーションから)を見つけるために組織レベルでフィルタ処理ができます。それによりステータスを変更したり、複数の脆弱性j情報をJiraに送信したり、CSVなどの形式でエクスポートしたりすることができます。
ルートカバレッジの算出から指定したアプリケーションルートを除外することができます。r管理者は、アプリケーションの攻撃対象が変更された場合には以前に除外したルートを含めることもできます。
Rubyエージェントは、GrapeのWebアプリケーションフレームワークを完全にサポートするようになりました。
.NET Frameworkおよび.NET Coreエージェントで、特定の信頼されていないデータに関して脆弱性を報告しないように、セキュリティ制御を設定できます。
Kennaをご利用のお客様は、Kennaとのインテグレーションをお試しいただき、フィードバックをご提供ください。
Azure Sentinelをご利用のお客様は、Azure Sentinelとのインテグレーション をお試しいただき、フィードバックをご提供ください。
重要なお知らせ
9月17日から、SaaS版のContrastは8つの固定IPアドレスを使用しますので、システム管理者の方はこれらのアドレスに許可を与えてください。これはユーザのアクセスやエージェントの通信に影響します。
10月31日をもって、すべての通信がこれらのアドレスに変更されますので、以後はAmazon IPアドレスを許可する必要はなくなります。
Node.jsバージョン4.1.0をもって、Node.jsバージョン2.xはサポートされなくなります。
現在、オンプレミス版のContrastにMySQL8をバンドルする移行作業として、さらに品質改善のテストを行っています。これは以前に3.8.8の情報として発表された内容に関するものですが、将来のリリースに延期されています。
今月リリースされたエージェントのバージョン:
表示されている最新バージョンが、オンプレミス版にバンドルされています。
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
Contrast Webインターフェイスのユーザメニューとログインページにおける表示の問題。(SUP-2545、SUP-2291)
LDAP設定のサーバーのバインド方式を匿名(Anonymous)にした場合に、Null Pointer Exceptionで失敗する。(SUP-3021)
LDAP設定のホスト名(Hostname)フィールドに1文字だけの入力ができない。(SUP-3043)
通知のカスタム設定の保存で、"内部サーバエラー"で失敗する。(SUP-2993)
他のアプリケーションで自動検証ポリシーの設定がされている場合、 エージェントが修復済みの脆弱性を再度検出した際に報告済みにならない。(SUP-3008)
Contrast webインターフェイスに日本語のコメントを入力すると、Slack連携で正しく表示されない。(SUP-2979)
Python SDKのセッションメタデータ呼び出しがGETからPOSTに変更される。 (SUP-2815)
2021年7月 (3.8.6)
オンプレミス版リリース: 2021年8月10日
SaaS版リリース: 随時
新機能と改善点:
The Node.js agent release of version 4.0.0 brings improved performance with the Babel rewriter, startup caching, better testing, and required installation of Contrast service.
Protect applications can now startup with a default rule configuration that balances performance impact with security value for common attacks.
Improve performance for the Python agent, including shorter startup time, reduced latency, and reduced CPU overhead.
重要なお知らせ
As of Contrast 3.8.8, the MySQL version that is bundled with the on-premises installer will be upgraded to version 8. If you are currently using the bundled MySQL 5.7 in your deployment, you will be upgraded to version 8 for Contrast versions 3.8.8 and later. (If you are using a distributed version of MySQL 5.7 or 8, this will not affect you.)
今月リリースされたエージェントのバージョン:
表示されている最新バージョンが、オンプレミス版にバンドルされています。
Java: 3.8.6.20712 | 3.8.6.21068 | 3.8.6.21910
Ruby: 4.9.1
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When attempting to filter vulnerabilities by module in Contrast, it's not possible to select the Module option. (SUP-2997, TS-10179)
When sending vulnerabilities to an external bugtracker, auto-ticket creation will fail due to a regression. (SUP-2974, INT-734)
When generating a security standards report, any server-side request forgery (SSRF) findings are erroneously excluded. (SUP-2920, TS-9529)
When viewing the library stats for a merged application, the breakdown of libraries by Years Out of Date shows only libraries of the master application (SUP-2989, OSS-2232)
When logging back into the Contrast web interface following a session expiration, the user is redirected to a 404 page. (TS-9946)
2021年6月
3.8.5 on-premises release date: July 13, 2021
新機能と改善点:
With improvements to route coverage in the Contrast web interface, you can delete multiple routes at once.
Now when you select Add agent in the Contrast web interface, the process for installing the Java and .NET Core agents is clearer and simpler.
The new .NET Core installer improves the process for those installing the .NET Core agent for IIS-hosted applications.
The Go agent is available to on-premises customers as of Contrast version 3.8.5.
今月リリースされたエージェントのバージョン:
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When a user marks a vulnerability Remediated in the Contrast web interface, the status is not always changed back to Reported if the vulnerability is rediscovered. (SUP-2823, TS-8920)
When the vulnerability severity breakdown for a merged application is obtained via the API, the response will not include child applications unless the
includeMergedparameter is set to true. (TS-8352)When upgrading to EOP 3.8.4 with a custom Java installation, the Contrast server reverts to using the bundled JRE. (SUP-2906, TS-9319)
When auto-ticket creation is enabled for the Contrast Jira integration, an incorrect field list will intermittently be used leading to failed ticket creation. (SUP-2901, INT-607)
When a user visits the Contrast web interface, dates default to Japanese format as opposed to the users’ locale. (SUP-2670, TS_9051)
When viewing the HTTP Info tab for a vulnerability, text formatting tags are exposed. (SUP-1937, TS-5418)
2021年5月
3.8.4 on-premises release date: June 1, 2021
新機能と改善点:
For hosted (SaaS) customers, Contrast now supports applications that use Golang. Support for on-premises customers will be included in the 3.8.5 release. The Go agent instruments your application at build-time. It provides visibility into vulnerabilities within your custom code and third-party libraries (including CVEs), and a visualized dependency tree across your libraries and license reporting.
You can filter libraries to find high-risk libraries with a security score of C or below and prioritize them for remediation.
今月リリースされたエージェントのバージョン:
Important notes:
In August 2021, Microsoft will end support for .NET Core 2.1. In accordance with Microsoft's support policy, the Contrast .NET Core agent will drop support for .NET Core 2.1 and 3.0 (which is already end of life) in August for hosted (SaaS) users, and for the 3.8.7 on-premises release.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When viewing the HTTP request of an attack event in the Contrast web interface, the URL being protected is not shown correctly. (TS-8655, SUP-2745)
When viewing the OSS dependency tree, not all reported libraries are shown. (OSS-1350, SUP-2587)
When using the automated server cleanup, a subset of servers remain. (TS-8661, SUP-2764)
On-premises server opens the JMX port to query queue size and, if the port is blocked, repeatedly throws benign errors. (TS-8616, SUP-2591)
When selecting Libraries in the header, the vulnerability status bar displayed doesn't match the severity of the vulnerabilities tied to the library. (TS-8872, SUP-2788)
2021年4月
3.8.3 on-premises release date: May 4, 2021
新機能と改善点:
Contrast Assess now identifies NoSQL injection vulnerabilities for .NET Framework and .NET Core applications running on MongoDB.
For Python applications using the Bottle web framework, Assess can now detect vulnerabilities and Protect can now detect and block attacks.
Job outcome policies for Jenkins are now generally available. You can now drive CI/CD policy enforcement, standardize build success criteria across application teams, and improve mean time to remediation. Visit the Support Portal to learn how to meet key integration use cases and to use the public APIs for job outcome policies with non-Jenkins CI tools.
A new Secure Code Warrior beta integration embeds links to vulnerability training in vulnerability's How to fix section in both the Contrast web interface and in IDE integrations. Visit the Support Portal and this GitHub repository to learn more about setting up this new integration. By installing this integration, you agree to the Contrast Beta Terms and Conditions.
Contrast will now generate a notification when a new vulnerability is discovered on an existing library. To receive the new alerts, set a library “New Vulnerability” notification.
The Contrast database now includes .NET Core and .NET Framework DLLs that are not part of the NuGet package manager. Vulnerabilities that are found in .NET framework DLLs will be reported, and you can view data on latest DLL updates available. These libraries will now also be considered as part of the overall library score for an application.
The dependency tree has received a number of enhancements including a summary of dependency risks, callouts for total vulnerabilities per library and tree views offering historical context.
You will now see a warning message if a server is licensed for Protect, but a particular application on that server does not have Protect enabled.
Important notes:
Node.js agent 4.X, the next major version, will be available in the June release (3.8.5 on-premises release). All Node.js developers should review the upcoming release to become familiar with new capabilities and performance improvements. For the best upgrade experience, please be aware of these changes in the default behavior.
今月リリースされたエージェントのバージョン:
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When logging into Contrast using Azure IDP, a 405 error is sporadically thrown (TS-8083, SUP-2366)
When calculating the Library Score for an Application, in rare scenarios a library can be scored -1 resulting in a skewed grade (OSS-1977, SUP-2695)
When adding users through the bulk CSV API, the request fails when one of the users already exists (TS-5688, SUP-2127)
When installing EOP on Windows, a number of benign warnings are logged to catalina.out (TS-3394, SUP-1478)
2021年3月
3.8.2 on-premises release date: April 6, 2021
新機能と改善点:
CSV and XML vulnerability exports will now include all the instances associated with a given vulnerability. You will see a new column labeled Instance IDs in the vulnerability export.
When viewing vulnerabilities, you can now select the Show licensed only checkbox to filter vulnerabilities to show only those vulnerabilities that are from applications licensed for Assess.
You can now see the offending URL for all Insecure Authentication Protocol vulnerabilities. Select the vulnerability, and you will see the URL in the Overview under What happened?.
The Node.js agent added support for the Validator library, the Python agent added support for Bottle, and the .NET Core and .NET Framework agents added support for the async functions for Assess.
今月リリースされたエージェントのバージョン:
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When creating a new Pivotal Cloud Foundry Service for Contrast, a 403 error is thrown. (SUP-2677, TS-8134)
When a server entry is deleted from Contrast and re-onboarded, it retains its previous configuration rather than honoring the latest configuration. (TS-7405, TS-7690)
When querying the
/applications/filterAPI endpoint, theincludeOnlyLicensedparameter does not take effect. (SUP-2520, TS-7335)When an auto-remediation policy is run, vulnerabilities found on servers which have since been deleted from Contrast are not marked as remediated. (SUP-2405, TS-7165)
When generating an attestation report, the report fails with the error, “The report cannot be accessed at this time.” (SUP-2635, TS-7832)
2021年2月
3.8.1 on-premises release date: March 9, 2021
新機能と改善点:
Dependency confusion is a new type of vulnerability where internal libraries may be replaced by potentially malicious libraries from public repositories. The Contrast CLI now warns you of Node.js libraries that are at risk for dependency confusion.
This improvement is available to all Contrast customers. Further Centralized Dependency Confusion improvements will be available to customers with a Contrast OSS license.
Learn more about dependency confusion in this blog or webinar.
The Contrast CLI was updated with a
--cve_thresholdcommand to give you more control over when to fail a build.
今月リリースされたエージェントのバージョン:
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When querying for vulnerability details with the API with the
metadataFiltersparameter, a NullPointerException is thrown and a 500 response is returned. (TS-7322, SUP-2511)When viewing vulnerabilities in the Visual Studio IDE plugin,
unstyledDatatags are visible in the vulnerability overview. (TS-7239, SUP-2332)When sending notifications with the Slack, MS Teams or Generic Webhook integrations, placeholders for the Application name, Server name and other dynamic content are not resolved. (TS-7214, TS-7237, SUP-2389)
When viewing a vulnerability found on a Server which has since been deleted, no Environment (Dev, QA or Prod) is shown. (TS-7162, SUP-2419)
After adding a new application to a custom access group, the group may be hidden from Organization Administrators until they log out and log back in to Contrast. (TS-5784, SUP-2113)
2021年1月
3.8.0 on-premises release date: February 9, 2021
今月リリースされたエージェントのバージョン:
Important notes:
On June 30, 2021, support for communication to the multi-tenant Contrast SaaS system (https://app.contrastsecurity.com) using TLS 1.0 and 1.1 will be deprecated. All future communication will require TLS 1.2 or later. For further information please refer to this support bulletin.
新機能と改善点:
It is now possible to run the CLI when multiple configuration files exist. For users with multiple languages, specify the CLI language parameter with the
--languagecommand in order for the CLI to run.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When an application is reset in the Contrast web interface, the associated vulnerabilities persist. (TS-7129, SUP-2414)
When querying for application details through the API, users intermittently receive a 403 response. (TS-6789, SUP-2336)
When generating an attestation report, the download link is not posted to the notifications icon. (TS-6469, SUP-2258)
When you use the Select all icon to export of the vulnerability list, not all vulnerabilities are exported. (TS-3378, SUP-1332)
When viewing the Activity tab for a vulnerability which has undergone status changes, no activity is shown unless comments have also been added manually. (TS-6522, SUP-2212)
2020年12月
3.7.11 on-premises release date: January 8, 2021
今月リリースされたエージェントのバージョン:
Important notes:
Beta users can view filtered data in one place, including app rating, route coverage, license usage and a vulnerability histogram by status, type and severity.
新機能と改善点:
You can now set library policy on commercial third-party libraries.
You can now see which libraries are used by master applications and their merged applications. Some libraries may only be used in a single merged application while others may be used in several.
On-premises customers using a proxy can now connect to our central server to get automatic updates for library data. This can be done under system level proxy settings.
The Java agent now supports newer versions of Java including 13, 14, and 15.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When a user filters the application list to show unlicensed applications, a react error is thrown. (TS-6724, SUP-2316)
For on-premises users, when a user is removed from a linked LDAP group, they are not removed from the corresponding Contrast access group. (TS-6379, SUP-2231)
When there are multiple instances of a vulnerability, the detected environment is not correct for all instances. (TS-6451, SUP-2248)
When a user changes the policy for the “semantic” SQL Injection rules, the agent doesn’t honor these changes.(DOTNET-2390, DOTNET-2431, SUP-2325)
2020年11月
3.7.10 on-premises release date: December 1, 2020
今月リリースされたエージェントのバージョン:
Important notes:
As of December 1, 2020, Contrast will support only version 9 of Tomcat. This impacts on-premises customers running Contrast on Tomcat version 7. Customers who use the Contrast-supplied, embedded Tomcat should just upgrade to Contrast version 3.7.10 when it is released in December. Please refer to the support bulletin for more information.
新機能と改善点:
Runtime library usage has now been extended to include merged applications.
Added support for instrumenting applications that use the Java 2 security manager for permissions.
The .NET Core agent now supports .NET (Core) 5.0.
Added Java 14 and 15 compatibility.
Added support for .NET Core CLR instrumentation engine (CIE).
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
When viewing the vulnerability Overview and How to fix text, code snippets are incorrectly rendered. (TS-6375, SUP-2235)
Selecting Vulnerabilities displays a 500 error in rare cases indicating that an entry exists without a corresponding vulnerability instance entry. (TS-5636, SUP-2178, SUP-2049)
When using the form to create a library policy, performance is very slow when there are many libraries in the Organization. (TS-2084, SUP-1051)
When viewing vulnerable libraries, some mapped CVEs are not displayed. (OSS-1465, SUP-2091)
2020年10月
3.7.9 on-premises release date: November 3, 2020
今月リリースされたエージェントのバージョン:
Important notes:
As of December 1, 2020, Contrast will support only version 9 of Tomcat. This impacts on-premises/non-SaaS customers running Contrast on Tomcat version 7. Customers who use the Contrast-supplied, embedded Tomcat should just upgrade to Contrast version 3.7.10 when it is released in December. Please refer to the support bulletin for more information.
新機能と改善点:
Contrast OSS now shows more detailed data about libraries. You can see not only if a library is used, but how much that library is used. You can analyze runtime library usage generally under Libraries, or in much more detail under Applications. Contrast now reports the exact classes that have been used by the application. Runtime library usage has been extended across all languages in our platform. (It was previously limited to Java and .NET Framework.)
The .NET Framework agent is now compatible with the Azure ApplicationInsight APM tool. The ApplicationInsight agent runs in the Common Instrumentation Engine (CIE) runtime. The CIE is now supported and the Contrast .NET agent can be deployed in all environments alongside ApplicationInsight. This compatibility works out-of-the-box for Azure SaaS deployments when the Contrast .NET site extension is used.
Added Hibernate 4 and 5 support for Java developers using JPA/JPQL, Hibernate JQL, native SQL and Criteria API data access.
For Java users, you can now use profiles in a multi-tenant application configuration to apply individual options to each application.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
On-premises instances are unable to connect to Ardy. (TS-5698, SUP-2126)
ReDoS Protect event causes null pointer exception. (JAVA-1771, SUP-2086)
Java agent doesn’t honor Websphere trust store configuration. (JAVA-742, SUP-772)
Node.js is not emitting a Protect QUERY event in loopback. (NODE-1063, SUP-2009)
When deleting route coverage data, transaction times out. (TS-5658, SUP-2064)
2020年9月
3.7.8 on-premises release date: September 29, 2020
今月リリースされたエージェントのバージョン:
新機能と改善点:
The Contrast CLI now returns details of the CVE's found on each library. This output can be configured by setting a CVE severity threshold which will limit the output returned. The CLI can also return an exit code which can be used as part of a CI/CD pipeline to prevent vulnerable libraries from being deployed to production. CLI support has also been added for Gradle projects.
A Visual Studio Code extension is now generally available from Microsoft's Marketplace, so you can receive a remediation experience native to your code editor.
Contrast is now compatible with Java 13.
Route coverage is now available for Servlet API versions 2.4+ and 3.0+ on GlassFish web servers.
The contrast extension to Azure DevOps now has a release gate, in addition to a build task.
Improved coverage and support for Spring 5 MVC and Spring Boot 2.X.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
Liferay CMS accuracy needs improvement. (JAVA-1409, SUP-1663, SUP-1664, SUP-1711)
.NET service restart causes IIS workers to fail to start. (DOTNET-1928, SUP-1818)
Insecure Encryption Algorithm reported at incorrect code location. (NODE-1038, SUP-1852)
Library bulk export failing to filter by application. (TS-5325, SUP-1928)
On-premises instances replacing
log4j2.xmlon startup. (TS-3354, SUP-1422)
2020年8月
3.7.7 on-premises release date: September 1, 2020
今月リリースされたエージェントのバージョン:
Important notes:
For Jenkins users, you can now try out centralized policy configuration. Create consistent build failure policies across teams while eliminating the need to define vulnerability thresholds in the plugin. This public beta feature is available to all Contrast administrators.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
Organization Administrator unable to load access group details. TS-4745 (SUP-1769)
Unable to view route coverage for merged child applications. TS-4028 (SUP-1632)
Hash algorithm shown as “null” in insecure hash findings. TS-3087 (SUP-1407)
Certain attack events missing from daily email digest. TS-4568 (SUP-1681)
3.7.6 on-premises release date: August 4, 2020
新機能と改善点:
This release brings several improvements that help CLI users collect information on library dependencies early on:
Applications created using the CLI can now be assigned to an organization group.
TLS now supports client side certificates for authentication.
Proxy server support has also been added.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
TS-4419 (SUP-1704) Library page was timing out.
TS-4666, 3123 (SUP-1751, 1339) Vulnerability instance ID being used as opposed to the global vulnerability ID.
TS-4259 (SUP-1645) Library scoring not refreshing in air-gapped on-premises Contrast installations.
JAVA-1278 (SUP-1312) Java agent impacting handling of disabled TLS algorithms.
TS-3647 (SUP-1599) Security Standards PDF report failing due to high number of backend components.
Language versions currently supported: Java 1.6 - Java 11
Agent versions released during the past month: 3.7.5.15634, 3.7.6.16040
New features and improvements:
Added Spring support for Accessing Relational Data using JDBC.
You can now access JPA Data with REST in Spring.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
jaxrs/Jersey vulnerabilities not triggered due to losing track of tainted data.
Race condition with CreateApp settings meaning Server level disabled rules are used.
Protect false negative: Jackson unsafe deserialization (CVE-2017-17485).
finding-sendbroken due to FrameworkManager bringing in dispatchers from java.lang.Agent fails to request permission before calling
setAccessible.Command Injection in Protect received false positive from
argparse4j.Agent on WebSphere changes handling of disabled TLS algorithms.
Spring
PathVariableis not detected as a source.Dataflow is lost through some Spring Util classes.
False positive unvalidated forward in Tomcat with Spring
DeferredResult.SQLi FP with HttpClient's
RetryExecwith MariaDBFalse positive received with XSS Keyword.
-Dcontrast.rootappname ignored whenServletContext.getServletContextName()returns non-empty value.
現在サポートされている言語バージョン: .NET Framework: 4.7.1, 4.7.2, 4.8
今月リリースされたエージェントのバージョン: 20.6.6, 20.7.2, 20.7.3, 20.7.4
New features and improvements:
Added
connectto contrast-dotnet-diagnostics to test the agent’s ability to connect to Contrast.Added
config-keysto contrast-dotnet-diagnostics to display configuration options supported by the agent.Added
cert-infoto contrast-dotnet-diagnostics to display information about the certificate provided by the value of theapi.urlconfiguration setting.Improved the performance of Protect SQL-Injection detection.
Improved the performance of Protect against XML-based inputs.
Added
validate-yamlto contrast-dotnet-diagnostics to verify the agent’s contrast-security.yaml configuration file.
重要なお知らせ:
The agent’s file analysis rules now execute within the context of the agent’s sensors component. These rules will now execute in Azure App Service and Docker deployments. Previously these rules only executed in the agent’s background Windows service component.
修正された不具合:
When a third-party profiler would be chained with Contrast, that profiler could instrument some internal Contrast methods which lead to some instability. This issue has been fixed now.
The agent could fail to properly observe some Web API 2 routes. This issue has been fixed now.
When an OWIN-based application was deployed to Azure App Service, the agent would cause an application error. This issue has been fixed.
When the agent’s background Windows service was shutting down it could sometimes harmlessly crash. This issue has been fixed.
現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1
今月リリースされたエージェントのバージョン: 1.5.10, 1.5.11, 1.5.12
New features and improvements:
Added
connectto contrast-dotnet-diagnostics to test the agent’s ability to connect to Contrast.Added
config-keysto contrast-dotnet-diagnostics to display configuration options supported by the agent.Added
cert-infoto contrast-dotnet-diagnostics to display information about the certificate provided by the value of theapi.urlconfiguration setting.Improved the performance of Protect SQL-Injection detection.
Improved the performance of Protect against XML-based inputs.
Added
validate-yamlto contrast-dotnet-diagnostics to verify the agent’s contrast-security.yaml configuration file.
現在サポートしている言語バージョン: 10、12 LTS
過去1ヶ月間にリリースされたエージェントのバージョン: 2.16.1, 2.16.2, 2.16.3, 2.16.4, 2.16.5, 2.16.6, 2.16.7, 2.16.8, 2.17.0
新機能と改善点:
Added multiple architecture changes and fixes that improve Assess performance.
Added support for URL Exclusions when using Assess.In Contrast, you can designate URLs that ignore selected rules or all rules.The agent now respects these settings for Assess rules in the Node.js agent.
Protect rule modes now default to OFF for best backward and forward compatibility.
Improved Fastify support to work better with GraphQL and Apollo Server.
Removed support for Protect Cross-site Request Forgery (CSRF).
Updated the version of Lodash used by the Node.js agent to 4.17.19 in response to a CVE for Lodash 4.17.15.
重要なお知らせ:
Version 3.0.0 of the Node.js agent will be released at the end of August and will introduce these changes:
The Node.js agent will be required to run with the Contrast service enabled.Currently the service is shipped with the agent but is optional; this change will enable the service by default.
The service will provide multiple functional and performance benefits to the Node.js agent.
The legacy auto-update policy for the Node.js agent will be deprecated when running with the service enabled.
注記
You will need to upgrade to Version 3.0.0, because the legacy auto-update feature does not upgrade to a major version.You can update your agent to 3.x with npm (recommended), the Contrast API or by using the Contrast web interface.Using npm allows version updates by using the customer’s application’s package.json with semantic versioning.
All new features will only be available for 3.0.0 and higher.Version 2.18.0 will also be released at the end of August and will be the final version that doesn't require the Contrast service.This version will continue to be supported for patch releases.
There are two optional features that may be useful to some customers.Contact your Customer Success Representative if you would like to know more about these:
Re-write caching provides faster subsequent start-up times.
Performance may improve when you skip (or deadzone) certain modules.For example, if you have modules passing large strings that are irrelevant to security, like logging, you can choose not to instrument them.
修正された不具合:
Node.js agent failed to initialize.Missing gRPC framework was resolved.
An exception occurred because of a syntax error for Fastify.This was fixed.
Crash when requiring the aws-s3 module was resolved.
現在サポートしている言語バージョン:2.5 - 2.7
過去1ヶ月間にリリースされたエージェントのバージョン: 3.12.1, 3.12.2, 3.13.0
New features and improvements:
Replaced google-protobuf with protobuf.
Improved logging to include
Thread Idas well asProcess Id.Removed custom
Contrast::InternalExceptionin favor of common exception types to improve error handling.
重要なお知らせ:
The change of dependency from google-protobuf to protobuf, removes the need to execute the
bundle config force_ruby_platform truecommand before installation.In 2020, the cucumber project forked protobuf for their own use in a way that is incompatible with the main branch.As such, you cannot run any project using cucumber-messages above version 8.0.0 as it depends on the incompatible protobuf-cucumber.
修正された不具合:
Improved handling of logging to unwritable destinations.
Improved handling of propagation to children of the String class.
Improved handling of propagation through Regular Expression where the result of a match is
nil.
現在サポートされている言語バージョン: Python 2.7、3.5-3.8
今月リリースされたエージェントのバージョン: 3.0.1, 3.1.0, 3.1.1, 3.1.2, 3.2.0
New features and improvements:
Added route coverage support for Django 3.0.
Added Falcon 2.0 support.
Improved accuracy of library file usage.
Improved propagation through regular expressions in Assess.
Important notes:
The team made significant internal cleanup to Request representation
修正された不具合:
Fixed a bug where regex propagation was throwing an exception under certain conditions.
Fixed a bug related to agent handling of very short JSON keys and values.
Updated protobuf dependency requirement in response to incompatibility issues with older versions.
Fixed an issue where the agent raised an internal exception for applications using certain features of pyasn1.
Fixed a bug where Django applications were unable to properly parse the Content-Type header if a charset was explicitly provided.
Improved error handling around stack trace construction.
3.7.4 on-premises release date: June 2, 2020
新機能と改善点:
For on-premises customers, daily exports of our library data are now available for download. Airgap environments can now update versions without updating the Contrast environment.
A new integration plugin beta displays vulnerability information directly in Visual Studio Code so developers can quickly and easily learn about security issues found in their application during functional testing, shifting security left.
Important notes:
With this release the .NET Framework agent has forked into two agents. The modern agent will continue to be developed to support recent versions of the .NET Framework, CLR and Windows OS versions. The legacy agent has all of the current features of the .NET Framework agent and will receive critical bug fixes but otherwise will not be further developed.
Previously, organizations with very large numbers of Jira users could time out when attempting to set up a Jira integration in Contrast. We have scaled our Jira integration so that this is no longer an issue.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
SUP-549, 1386 (SEC-530, JAVA-455, 1201) Protect was returning false positives and delivering duplicate attack events for some customers.
SUP-306 (TS-35) When upgrading Contrast, SQL backup files were silently deleted.
SUP-1426 (TS-3129) Null values in mapping application score triggered error messages.
SUP-1287, 1432 (JAVA-1191) Customers experienced performance degradation in Protect. This was remedied with significant performance improvements to the CMD Injection, XSS and SQLi rules.
現在サポートされている言語バージョン: Java 1.6 - Java 11
今月リリースされたエージェントのバージョン: 3.7.4.14937
新機能と改善点:
Added support for (WebSphere) Route Discovery for Servlet 2.5 Declarative Servlets.
Increased sensitive data masking coverage, specifically for SQLi, XSS, Command Injection, Path Traversal, CSRF, ReDoS, OGNL Injection.
修正された不具合:
XXE vulnerability missed in Assess but flagged as path traversal
UI displaying blocked and exploited HTTP Method Tampering events
Protect was receiving false negatives for XSS Bypass via Bug Bounty
Spring auto binding rule causing false negatives
Protect Path Traversal False Positive due to base64 null char
NPE in
ContrastHttpRouteRegistrationWatcherDispatcherImplReportFindings acceptance test annotation is broken
現在サポートされている言語バージョン: .NET Framework: 4.7.1, 4.7.2, 4.8
今月リリースされたエージェントのバージョン: 20.5.1
New features and improvements:
Improved detection of dangerous path use in Protect; specifically, when interacting with the file system (path-traversal-semantic-dangerous-paths rule) and in arguments to OS commands (cmd-injection-semantic-dangerous-paths rule).
重要なお知らせ:
Beginning with this release, the minimum supported operating system is Windows Server 2012 and the minimum .NET Framework version is .NET 4.7.1.
The legacy .NET Framework agent maintains support for Windows Server 2008 and older .NET Framework versions. The legacy agent has all of the current features of the .NET Framework agent and receives critical bug fixes but otherwise will not be further developed.
修正された不具合:
When an application sent a request to the same URL as the current request, the agent would report an SSRF vulnerability. This is fixed now.
When the agent would report an
xcontenttype-header-missingvulnerability, it was rejected due to missing information. The agent now sends all expected information for this vulnerability.
現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1
今月リリースされたエージェントのバージョン: 1.5.3
New features and improvements:
Improved detection of dangerous path use in Protect; specifically, when interacting with the file system (path-traversal-semantic-dangerous-paths rule) and in arguments to OS commands (cmd-injection-semantic-dangerous-paths rule).
The agent will no longer attempt to load under .NET Core versions less than 2.1 as these versions are not supported.
修正された不具合:
When an application sent a request to the same URL as the current request, the agent would report an SSRF vulnerability. This is fixed now.
When the agent would report an
xcontenttype-header-missingvulnerability, Contrast would reject the vulnerability report due to missing information. The agent now sends all expected information for this vulnerability.When an instrumented application closed the response stream, the agent could cause an application error. This is fixed now.
When an instrumented application seeked within a response stream, the agent could cause an application error. This is fixed now.
現在サポートしている言語バージョン: 10、12 LTS
過去1ヶ月間にリリースされたエージェントのバージョン: 2.15.0
重要なお知らせ:
New recommendations for installing and running the Node.js agent have been released.
修正された不具合:
The customer application would fail to start when all Assess rules were disabled.This is fixed now.
The customer application would fail to start because worker threads would hang and generate multiple processes with the same pid.This is fixed now.
The agent would not output the security log to stdout (or stderr).This is fixed now.
Duplicated vulnerabilities were being reported for unique routes.This is fixed so that TeamServer displays distinct findings for each request uri.
An out-of-memory error caused by a regex match resulted in an infinite loop.This has been fixed.
Node.js agent’s migration to npm and incorrectly bundled modules made it seem like the agent was missing two dependencies.This has been resolved.
現在サポートされている言語バージョン: Python 2.7、3.5 - 3.8
今月リリースされたエージェントのバージョン: 2.10.0
New features and improvements:
Added support for Django Rest Framework
Added copyright to all agent files
Removed the agent's external dependency on the wrapt package
Improved INFO level logging for easier tracking of applications with multiple processes
修正された不具合:
When running the agent with protobuf-3.6.1 sometimes the application crashed, which has now been resolved with a newer protobuf version.
現在サポートしている言語バージョン:2.5 - 2.7
過去1ヶ月間にリリースされたエージェントのバージョン: 3.10.1, 3.10.2, 3.11.0
New features and improvements:
Improved Stack Trace capturing
Improved library analysis performance leading to a decrease in first request penalty
重要なお知らせ:
The Agent now supports TRACE level logging.Those running with DEBUG logging should see a significant decrease in logged events
3.7.5 on-premises release date: July 7, 2020
新機能と改善点:
There is a new Vulnerability Instances section under the Notes tab on a vulnerability's detail page. Here you can see associated vulnerability instances with links that navigate to them. Vulnerability instances are listed by ID in descending order based on when they were first found, with the most recently found vulnerability (Last Detected) at the top.
The library grid will now sort by library score as the default. This ensures libraries with the most risk are clearly visible. Library version information is now more clearly reported and includes if the library in use is the latest version.
Contrast Documentation is still available at docs.contrastsecurity,com but with a new cleaner look, an improved search, and content organized by user role. Give us your feedback to help us keep improving.
修正された不具合:
この1ヶ月間で、以下の不具合が修正されました。
TS-3091 (SUP-1267, 1286) Some servers were appearing offline erroneously.
TS-3272 (SUP-1443) On-premises upgrade was requiring a java.security adjustments. This is no longer required.
DOTNET-1738 (SUP-1471,1491) .NET agent would crash when overly complex typesec was encountered.
NODE-904 (SUP-1634) Node.js agent was requiring the gRPC module which caused the agent to crash.
TS-2778 (SUP-1269) Searching for a vulnerability by ID was causing a global search timeout.
TS-2641 (SUP-1215) Attestation report was failing to generate when requested.
TS-3403 (SUP-1530) On-premises contrast-server.service was failing to restart after upgrade.
現在サポートされている言語バージョン: Java 1.6 - Java 11
今月リリースされたエージェントのバージョン: 3.7.5.15634, 3.7.5.15480
New features and improvements:
Provided route coverage support for the Servlet API.
Implemented Sensitive Data Masking with the mask_attack_vector.
Added Assess support for DynamoDB.
修正された不具合:
Protect caches input no matter the size potentially leading to OOMs for large requests
Undertow Resource Handlers Should Not Trigger Path Traversal Attacks
Path Traversal False Positive Due to Spring's ServletContextResource
Race condition in App Inventory along with Protect Struts Cve rules
Log4j2 instrumentation fails on Log4j2 2.13.1
Agent Reports Incorrect HTTP Protocol Version on Servlet Containers
Protect SQLi SimpleOrSearcher has poor performance on large inputs
Assess CSRF Detection Fails When Request Uses form-data/multipart
SSRF detection must not take use of tainted path as a SSRF vulnerability
Java Agent does not provide a findings field for PathTraversalSemanticDTM
Agent Prevents Graceful JVM Shutdown
Fix performance metric reporting for Acceptance Tests
StringUtil methods for case sensitive string comparison are wrong for non alphabet inputs
現在サポートされている言語バージョン: .NET Framework: 4.7.1, 4.7.2, 4.8
今月リリースされたエージェントのバージョン: 20.6.1, 20.6.3, 20.6.4
New features and improvements:
Improved the Assess analysis used to identify SSRF vulnerabilities to reduce the number of false positives reported by the agent.
Improved the Protect analysis used to analyze user inputs for potential SQL injection attacks to improve accuracy and performance.
Added support for OWIN based-hosting and self-hosted Web API applications outside of IIS.
The agent will now clean up old logs in Azure App Service and Docker-based deployments.
Improved logging and reliability around the agent’s auto-upgrade process.
Improved performance of Protect XSS.
Added support for route-based coverage of WCF services using Unity interception.
修正された不具合:
When the agent would report vulnerabilities for four response-based Assess rules related to CSP and HSTS, the report would be rejected by Contrast due to missing information. The agent now sends all expected information for these rules.
When an instrumented application defined a type using a large number of nested generic types, the agent could cause a StackOverflow error. This has now been fixed.
When a user would disable multiple Protect rules through the ‘protect.disabled_rules’ setting in the yaml file, the agent would not respect this setting. The agent will now respect this configuration setting.
When the agent’s service would restart IIS with Contrast sensors on an overloaded server, the service could start receiving messages from those sensors before it was ready to handle them which lead to the sensors failing to initialize. This issue has been fixed now.
When a user would set up profiler chaining with AppDynamics in an Azure App Service environment, the AppDynamics profiler would fail to load. This has now been fixed.
現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1
今月リリースされたエージェントのバージョン: 1.5.5, 1.5.7, 1.5.8, 1.5.9
New features and improvements:
Improved the Assess analysis used to identify SSRF vulnerabilities to reduce the number of false positives reported by the agent.
Improved the Protect analysis used to analyze user inputs for potential SQL injection attacks to improve accuracy and performance.
The agent will now clean up old logs.
Removed the dependency on Microsoft.Extensions.Caching.Memory.
Improved performance of Protect XSS.
Improved performance of Protect SQL-Injection.
修正された不具合:
When the agent would report vulnerabilities for four response-based Assess rules related to CSP and HSTS, the report would be rejected by Contrast due to missing information. The agent now sends all expected information for these rules.
When an instrumented application defined a type using a large number of nested generic types, the agent could cause a StackOverflow error. This has now been fixed.
When a user would disable multiple Protect rules through the ‘contrast.protect.disabled_rules’ setting in the yaml file, the agent would not respect this setting. The agent will now respect this configuration setting.
When a user would disable logging, the agent’s profiler component would still log high level information during initialization. The profiler will no longer create a log when logging is disabled.
現在サポートしている言語バージョン: 10、12 LTS
過去1ヶ月間にリリースされたエージェントのバージョン: 2.15.1 2.15.2, 2.15.3, 2.15.4, 2.15.5, 2.16.0, 2.16.1, 2.16.2, 2.16.3, 2.16.4
新機能と改善点:
Multiple architecture and performance improvements.
New gRPC communication protocol between the agent service improves performance.
Removed name and value cookie sources for reflected XXS per updated guidance for both Assess and Protect.
Added a sensor for SQLite for Protect.
Added support for Koa version 2.12.
Reflected XSS is now not reported if Content-Type is allowlisted as safe.
重要なお知らせ:
A major version release for the Node.js agent is planned for late July or August 2020.Node.js agent version 3.0.0 will introduce breaking changes for customers using the 2.x.x version of the agent and service.
修正された不具合:
Implemented multiple bug fixes due to the introduction of the gRPC communication protocol between the JavaScript agent and the agent service
Implemented fixes to resolve route coverage issues that surface when using graphQL, Apollo Server, and Fastify
Resolved a false positive issue when correctly using Sequelize to escape strings.
Resolved exception when fastify.route is called with an uppercase verb.
Resolved an issue that manifested as reporting duplicate routes when using the Express framework.
現在サポートされている言語バージョン: Python 2.7、3.5 - 3.8
今月リリースされたエージェントのバージョン: 2.10.0
New features and improvements:
Falcon 2.0 is supported and is in beta
Upgraded Contrast Service to 2.8.1
現在サポートしている言語バージョン:2.5 - 2.7
過去1ヶ月間にリリースされたエージェントのバージョン: 3.12.0
New features and improvements:
Caching of settings to improve performance and reduce memory impact
重要なお知らせ:
Deprecation of CSRF Assess and Protect rules
3.7.3 on-premises release date: May 8, 2020
新機能と改善点:
In addition associating vulnerabilities, you can now also associate both discovered and exercised routes to build numbers, application versions, branches or repositories using session metadata. This means you can also query route information with a public API endpoint. With a single call to a public endpoint you can get detailed information on how much of an application has been exercised and where the critical vulnerabilities are.
You now have a choice to receive individual policy violation emails or to consolidate them into a single email. Find this option under Organization Settings > Notifications.
Your AppSec team can more easily assess library security risk and prioritize work with changes to surface CVE severity and make libraries easier to find. Select Libraries to see a filterable list of libraries with visual display of CVE severity for each one.
Important notes:
To improve security, the Contrast JRE version has been updated to Java 11 for both hosted and on-premises customers. This should not affect end users.
修正された不具合:
These significant bugs have been fixed in the past month:
SUP-1244 (TS-2697, TS-1494) 3.7.2 on-premises upgrade caused Contrast server and mysqld to attempt to run as the wrong user.
SUP-1153 (JAVA-1051) RBAV was incorrectly auto-verifying vulnerabilities.
SUP-1172 (JAVA-1060, JAVA-1061, JAVA-1062) Protect input after a rule change caused false positives.
SUP-1231 (DOTNET-1458) .NET agent failed to initialize after upgrade.
UP-1156 (TS-2526) Inconsistent authorization redirected user to login and then an unauthorized page.
SUP-1074, 1234, 1312 (JAVA-1085) WebSphere LDAP/SAML authentication broke with newer versions of Contrast.
現在サポートされている言語バージョン: Java 1.6 - Java 11
今月リリースされたエージェントのバージョン: 3.7.3.14727, 3.7.3.14657
New features and improvements:
Contrast Assess more accurately detects Path Traversal vulnerabilities. Contrast Assess and Protect more accurately detect vulnerabilities and attacks respectively in Apache Struts based applications. Contrast Protect more accurately detects SQL Injection attacks.
重要なお知らせ:
This release includes breaking changes to Contrast Assess route coverage reporting when used with on-premise Contrast servers version 3.7.2 and older.
修正された不具合:
When WebSphere users configured their WebSphere services with custom TLS certificates, the Contrast Java agent prematurely initialized WebSphere's certificate manager as a side-effect. This caused the WebSphere TLS connections to fail unexpectedly. This issue has been resolved by adding a special exception for WebSphere to Contrast's TLS initialization whereby Contrast will use an isolated `SSLSocketFactory` instead of the Java runtime's default system socket factory.
When users configure their application with a session-based vulnerability auto-verification policy, and the user does not configure their Contrast agent with an explicit session_id configuration parameter, then Contrast wrongfully auto-verifies vulnerabilities. We resolved this issue by fixing a race condition, so we can ensure that auto-verification will work as expected when the user has configured their agent to use the
contrast.agent.java.standalone_app_nameconfiguration.
現在サポートされている言語バージョン: .NET Framework: 3.5, 4.0, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8
今月リリースされたエージェントのバージョン: 20.4.1, 20.4.2, 20.4.3
New features and improvements:
Improved handling of scenarios where the agent would write repeated errors to log files, creating larger than necessary log files.
The agent will now log unknown configuration keys at startup. This should help with troubleshooting configuration issues (for example, invalid yaml).
重要なお知らせ:
The agent’s auto-update feature will no longer update the agent when running on Windows Server 2008 or servers with .NET Framework 4.7.0 or older. This change is in preparation for the upcoming fork of the Contrast .NET Framework agent. See below for more details.
The next release of the .NET Framework agent will raise the minimum supported operating system to Windows Server 2012 and raise the minimum .NET Framework version to .NET 4.7.1. Support for Windows Server 2008 and older versions of the .NET Framework will be maintained via a fully featured legacy .NET Framework agent. This legacy agent will have all of the current features of the .NET Framework agent and will receive critical bug fixes but otherwise will not be the focus for future .NET development.
修正された不具合:
When an application hosted on IIS was (mis)configured without a virtual path, the agent’s background Windows service would crash. The agent’s background Windows service now properly handles this configuration.
A race condition around requests for configuration values that did not have default values could lead to a crash of the agent’s background Windows service. The race condition has been fixed, default configuration values have been provided for all configuration options, and missing default configuration values are now properly handled.
現在サポートされている言語バージョン: .NET Core: 2.1, 2.2, 3.0, 3.1
今月リリースされたエージェントのバージョン: 1.4.0, 1.5.0
New features and improvements:
Added support for Linux Azure App Service.
Added support for Alpine.
Improved handling of scenarios where the agent would write repeated errors to log files, creating larger than necessary log files.
The agent will now log unknown configuration keys at startup. This should help with troubleshooting configuration issues (for example invalid yaml).
修正された不具合:
When applications redirected to a URL that had been validated using
Url.IsLocalUrl, the agent would still report an unvalidated redirect vulnerability. The agent will now respect theUrl.IsLocalUrlvalidator.A race condition around requests for configuration values that did not have default values could lead to an unhandled error in the agent. The race condition has been fixed, default configuration values have been provided for all configuration options, and missing default configuration values are now properly handled.
現在サポートしている言語バージョン:
Agent versions released during the past month: 2.8.1, 2.8.2, 2.8.3, 2.9.0
New features and improvements:
Fastify framework support: Fastify 2.x is now a supported framework for the Contrast Node.js agent.
NPM availability: The Contrast Node.js agent can now be installed directly from the Contrast Security public NPM repository
Pre-load capabilities: The Node.js agent can now be run as a pre-load module using the -r flag.This is also now the recommended method of running the Contrast Node.js agent.
Important notes:
Running the node agent as a runner will now generate a deprecation message.This is the deprecated syntax:
node-contrast<app-main>
The agent will continue to function when executed as a runner.However, we encourage customers to migrate to the new method of running the Contrast Node.js agent as this is no longer recommended.
Bug fixes:
After architecture improvements were made to the agent, some applications were prevented from starting with the agent.This has been resolved and users should no longer receive error messages like these:
cls.run(() => { ^ TypeError: Cannot read property 'run' of undefined OR /usr/src/app/node_modules/node_contrast/lib.asar/AsyncStorage/index.js:188 if (ns.active) { TypeError: Cannot read property 'active' of undefined
現在サポートされている言語バージョン: Python 2.7、3.5 - 3.8
過去1ヶ月間にリリースされたエージェントのバージョン: 2.8.1, 2.8.2, 2.8.3, 2.9.0
New features and improvements:
Added initial support for Stored XSS rule in Assess for
djangoframework.Added Unvalidated Redirect support for Assess for
pyramidandwebobobjects.Made updates to reduce number of false positives from Reflected XSS rule in Assess.
Removed the agent’s external dependency on the
sixpackage.
修正された不具合:
When running the agent under Python 2.7 on Ubuntu 16.10 some instrumentation failed to apply, which has now been resolved.
When applications used
str.formatin certain edge cases, the agent lost dataflow propagation, which has now been resolved.
現在サポートしている言語バージョン: 2.4 - 2.7
過去1ヶ月間にリリースされたエージェントのバージョン: 3.8.1, 3.8.2, 3.8.3, 3.8.4, 3.8.5, 3.9.0
New features and improvements:
Enhanced module definition detection using TracePoint
重要なお知らせ:
This will be the last on-premises release bundled with a gem that supports Ruby 2.4.
It is recommended to use RubyGems at this point.