tCell发布说明/ (2021年11月9日

(2021年11月9日 net 2.4.5

net代理发布

2021-11-09

  • .NET Framework代理与.NET核心分离,允许独立发布周期和文档。
  • 更新的支持web。配置允许包含JS代理URL和API URL。
  • 在登录钩子中增加了对。net 4.0的支持——代理仍然需要在系统上安装。net 4.5.2+。

v2.4.4

2021-09-10

新(。净框架)

  • 现在可以使用Tcell.Agent.AzureWebApp nuget包将代理安装到运行在Azure AppServices中的。net Framework Web应用程序中。

固定

  • 我们修复了一个问题,即如果配置,代理服务器密码会显示在代理日志中。

v2.4.2

2021-07-26

已知的问题

  • 如果配置了,代理服务器密码将显示在代理日志中。升级到v2.4.4进行修复。

v2.4.1和

2021-07-13

  • 利用Rapid7收集器作为TCell的代理。使用Rapid7收集器作为代理,tCell可以利用组织中其他Rapid7产品使用的相同的Rapid7收集器来与Rapid7通信数据。如果您的组织需要从其环境到Insight Platform的单个出站连接,这将特别有用。dota2必威联赛Rapid7收集器可以作为tCell的代理:
    • 减少手动IP允许列表。
    • 提高锁定网络的灵活性。
    • 使用Rapid7提高网络和数据通信的安全性。

有关更多信息,请参见使用Rapid7收集器作为tCell的代理

固定

  • 我们修正了一个问题,在输入过滤器在Asp。NET将不会执行Read方法。

已知的问题

  • 如果配置了,代理服务器密码将显示在代理日志中。升级到v2.4.4进行修复。

v2.4.0

06-02-2021

  • libtcellagent升级。libtcellagent被升级为8.0.3版。
  • 标题支持。要减少误报的数量,SQL-LI和XSS忽略了SEC-CH-UA标题和内容类型。

改进的

  • 我们为应用程序防火墙和应用程序防火墙阻止事件添加了反向代理标题值,以允许使用标题调试IP解析失败。
  • 具有多个区域,我们现在要求您输入一个URL作为代理配置的一部分。在有多个区域时,默认URL是不是首选。

固定

  • 我们解决了应用程序防火墙阻止事件cookie和状态代码有效载荷的问题。
  • 我们修复了一个问题,在JSON中,denylist没有编辑来自App Firewall Blocking事件的有效载荷。
  • 我们修复了一个错误,即配置文件中的空值会导致解析错误。
  • 我们修复了在Heartbeat任务丢弃快照指标之前没有发送快照指标的问题。
  • 我们修复了IPv6排除规则的错误,其中忽略了比指定的更多IPS。

已知的问题

  • 操作系统命令和本地文件特性将与使用。net Profiling API的监控工具(如New Relic、App Dynamics和Dynatrace)发生冲突。如果您正在运行其中任何一个,则需要在安装tCell代理之前卸载/禁用它们。
  • 删除日志文件将停止代理从日志记录,并且需要重新启动应用程序/ IIS服务器。
  • 不支持。net 5中的路由。

v2.3.3

01-04-2021

固定(.NET Framework)

  • 修正了在进行验证/安装日志记录时,如果应用程序无法找到应用程序池,安装程序将失败的问题。

v2.3.2

10-23-2020

新——所有

  • 增加了对AppFirewall 5的支持,支持IP组和CIDR块对AppFirewall事件过滤的支持。

新- .NET框架

  • 增加了对MVC中直接路由的支持[Route("~/Home/Index")]。
  • 现在可以在web.config中配置代理。
  • 在安装日志中添加了一个警告,如果应用程序的自动回收被打开。这是IIS的默认特性,但它会使代理脱机,可以禁用它或延长回收计时器。请参阅。net文档有关更多信息。

固定(.NET Framework)

  • 修复了读取URL有时抛出异常的问题,使路由和其他数据不可用。
  • 修正了一个问题,在MVC中直接路由没有正确处理(总是返回MvcHandler)。
  • 修正了发送到后端的统一资源标识符(URI)在某些事件中有时会错过协议和主机名的问题。
  • 修正了配置使用UTF8-BOM编码时无法读取的问题。

v2.3.1

07-23-2020

固定

  • 修正了安装程序设置代理安装路径而不是用户的问题

改进的

  • 代理现在在unix命令解析器中处理sudo命令注入

v2.3.0

06-17-2020

  • 增加了第三方包裹发送时的额外信息server_agent_packages事件tCell云。
  • 为.NET和.NET核心应用程序添加了对32位应用程序的支持。这包括32位和64位体系结构的Visual C ++ Redistributables。
  • 在启动时添加了有关操作系统和体系结构信息的其他信息事件数据tCell云。
  • tCell现在支持32位架构,因此不再发出检查和警告。

固定

  • 修正了在IIS中多个应用程序使用同一个应用程序池时,代理有时无法启动的问题(。净剂)。
  • 修复了当IIS配置为在单个应用程序池中运行多个应用程序(仅限.NET代理)运行多个应用程序时,本地文件功能或命令注入功能无法正常运行的问题。

v2.2.4

06-03-2020

  • 增强了日志记录登录事件在这种情况下,事件数据包含空值。这在调试与登录和相关的问题时非常有用账户的收购
  • 提高处理请求的性能和可扩展性应用防火墙阻止策略包含大量的IP地址。
  • 增强代理人事件通过发送逻辑将大型请求分解为较小的部分,增加了代理和云之间通信的可伸缩性。
  • 发送的增强数据本地文件事件包括本地文件访问是否引用文件系统中存在的文件。
  • 升级了解析库,增强了用于解析和检测的逻辑命令注入多层嵌套的命令重定向
  • 优化了收集和发送时的内存使用事件数据在有大量本地文件访问。

固定

  • 修正了发送代理逻辑的问题事件没有正确处理远程tCell云网络重置。这有时会导致代理长时间停止发送事件。

v2.2.3

04-06-2020

  • 增加了支持path_style字段在本地文件事件中发送到tCell云。
  • 增强的支持操作系统命令解析以Windows为中心的路径。
  • 提高了性能应用防火墙阻止政策在运行时。
  • 安装程序现在将警告不兼容的应用程序,如32位,经典模式,或运行在CLR 2.0(。净剂)。
  • 添加前置条件到Tcell。代理模块,这样代理就不能在使用Classic模式管道或CLR 2.0的应用程序上运行(。净剂)。
  • 添加了一个用于故障排除目的的安装日志文件。您可以找到此登录C:\ProgramData\Rapid7, inc\tCell .Net Agent\InstallLog\(仅限.NET代理)。
  • 在安装程序中添加了对HttpRedirectionModule的检查。如果这个模块正在使用,iis_url_rewrite设置必须设置为true(。净剂)。

固定

  • 修正了IP白名单在本地文件功能不正常工作的错误。
  • 修复了未发送到TCell云的登录挂钩密码签名的问题。

v2.2.2

03-09-2020

注意:2.2.2代理是一个特定于。net核心的修复,不是针对。net代理发布或更新的。

固定

  • 修正了在Windows上Tcell.Agent.Instrumention_x64.dll无法复制到输出路径的问题。

v2.2.1

03-04-2020

  • TCELL_AGENT_STARTUP_ERROR_LOGGING环境变量现在接受一个路径和一个布尔值。看到net环境变量获取详细信息。
  • 对于。net代理,移动默认缓存和日志目录到C: ProgramData\Rapid7, inc\tCell . net代理,以避免写入应用程序根文件夹时的权限问题。
  • 增加了一个启动检查,应用程序运行在64位模式。如果它是一个32位的应用程序,代理将无法加载并记录一条错误消息。
  • 改进了启动失败时的一些错误消息。
  • 更新的许可文本和图标。

v2.2.0

01-13-2020

改进的

  • 删除了对已弃用诊断功能的支持。

v2.1.1

  • 本地文件仅在Windows上支持。看到//www.gcpym.com/tcell/local-files有关如何使用的详细信息。
  • 额外的环境变量支持自定义日志记录;看到//www.gcpym.com/tcell/server-agent-options有关如何使用的详细信息。
  • 代理诊断;看到//www.gcpym.com/tcell/Advanced#Agent-diagnostics.有关如何使用的详细信息。
  • 如果代理启动失败,将不会创建tcell_agent_critical.log文件,除非将环境变量TCELL_STARTUP_ERROR_LOGGING设置为True。这是为了防止在没有被tCell监控的IIS上运行的应用程序被错误淹没。
  • 添加支持将文件系统发现数据作为本地文件的一部分发送。
  • 应用程序防火墙处理中的性能增强。
  • 改进的日志记录。
  • 更改第三方库以提高核心代理运行时的性能。

固定

  • 日志文件过大的问题已经修复,现在最多占用10Mb(1个文件+ 9个存档)。这可以通过环境变量进行配置。
  • 修正了一个问题,如果URLRewrite模块安装在IIS中,并且使用/quiet命令行运行安装程序,安装程序会冻结。
  • 修正了在Web窗体应用程序中可能检测到一些不存在的路由的问题。
  • 修正了windows操作系统命令白名单区分大小写的问题。
  • 使策略轮询更加健壮,并避免与策略轮询相关的虚假错误消息。
  • 升级第三方库库,从而使核心代理运行时更可靠。
  • 在处理带有空会话的应用程序防火墙事件时,我们修复了事件数据不准确的问题。
  • 修正了一个潜在的内存泄漏。
  • 更新第三方HTTP库以提高错误处理和可靠性。
  • 修复了在关闭代理时使用的低级库的bug。
  • 更新第三方库,以避免潜在的安全漏洞。
  • 更健壮地处理无效的代理配置文件。
  • 修正了重定向策略加载策略的错误。
  • 更新的Rust版本以修复潜在的安全漏洞。
  • 修正了一个问题,即操作系统命令白名单对待不同的情况下的文件在Windows,即使他们是逻辑上相同。

v2.0.1

改进的

  • 对于。net代理,代理dll将以路径加载,而不是以字节加载。如果此更改导致问题,则使用Environment变量TCELL_AGENT_LOAD_ASSEMBLIES_AS_BYTES可以设置为“true”以恢复旧的行为。

v2.0.0

  • 支持命令注入.有关如何使用.NET或.NET核心代理启用命令注入的详细信息,请参见启用OS命令注入检测
  • 应用防火墙和补丁(阻塞)事件现在包含已知头的值和未知头的大小。
  • 记录使用的libtcellagent的版本
  • 性能和内存使用已得到优化
  • Content-Security-Policy头在缺少Content-Type时注入
  • 缓存文件名现在将包含代理版本号,以避免更新代理时可能发生的冲突。这将强制在代理更新后下载新的策略。
  • 不再使用NLog;现在,所有的日志记录都是通过标准的tcell日志记录来完成的服务器代理选项
  • SessionId的哈希计算已被更改为与其他代理的行为一致。它现在将是一个十六进制值,而不是base64字符串。

固定

  • 修复了如果请求大于框架允许的要求,可以中断后台处理的问题。
  • 修正了在访问请求体、querystring或头信息时抛出异常会中断读取请求的问题。
  • 修复了在ASP.NET核心中的USetCellSessionID中的问题如果无法初始化代理程序,则会崩溃。

已知的问题

  • 删除日志文件将停止代理的日志记录,需要重新启动应用程序/IIS服务器。
  • 每个日志文件的大小可以是15mb,其中包含10个归档文件,因此总大小可能是165mb。
  • Windows仅支持命令注入

v1.1.4

2018-09-27

固定

  • 修正了如果从后端api返回错误,策略更新器将终止的问题。

v1.1.3

2018-08-30.

固定

  • 修复了Web Forms中的Web Bresource.Axd在某些情况下返回空结果。

2018-08-21

固定

  • 修复了一个问题,其中Jsagent未添加到Web API中的HTML响应。
  • 修正了在启动时发送带有错误主机名的空事件的问题。这将在UI中显示2个活动的代理。这只在使用host_identifier配置值时发生。
  • 修正了w3wp进程在应用程序关闭/回收时可能崩溃的问题。

v1.1.1

2018-07-12

固定

  • 修正了Web API路由无法被检测到并报告给tCell服务的问题。这将表现为没有出现在事件中或在tCell控制台中路由列表中。
    • 具体来说,Web API框架的一些版本得到了正确的支持,而另一些版本则没有得到正确的支持。现在,Web API框架的所有版本都应该可以正常工作了。

v1.1.0

2018-06-27

改进的

  • 最大日志文件大小符合其他代理的1兆字节。
  • 与其他代理一起将最大事件队列大小设置为1000。这是应该发送给tCell服务的已识别事件队列。
  • 控制是否将有效负载发送到tCell服务(allow_payloadsallow_unencrypted_appsensor_payload.)将默认为true而不是false。我们希望这不会给用户带来变化,因为生成的配置总是包含这些设置之一。
  • 对内部代理通信对象池的最大大小设置了上限。这可能不会影响任何实际部署,但在异常行为的情况下是一种安全改进。

固定

  • 修复了应用程序超过最大路由计数的日志记录行为。以前,会记录大量的消息,可能会消耗I/O和存储空间。现在,当这种情况发生时,单个消息将被记录为错误,在调试级别可以获得更多信息。
  • 修正了代理在每次与tCell服务通信后都会释放HttpClient对象的问题。这是一个效率问题,在某些情况下可能导致TIME_WAIT中的套接字或资源泄漏。
  • 修正了反向代理报头(如X-Forwarded-For)中提供的客户端ip地址在包含端口号时无法正确解析的问题。

v1.0.3

2018-06-12

  • 增加了对CSP作用域的支持。这启用了URL路径或路径模式的表达式,tCell代理不应该接收CSP头。
  • 为基于浏览器的Javascript Agent (jsagent)的插入控件添加了基于正则表达式的路径匹配支持。
  • 块事件中的详细负载信息(当代理按照块规则和可疑参与者的请求阻止请求时报告的事件)

v1.0.2

2018-05-09

固定

  • 修正了一个问题inspect_json_posts配置标志未打开JSON检查。

v1.0.1

2018-04-30

固定

  • 修复了会话劫持检测问题。以前的实现依赖于在.NET应用程序上不是普遍的会话行为,因此对于某些应用程序而言,该功能不起作用。
    • 新的实现使用.ASPXAUTHCookie在ASP.NET环境中,和.AspNetCore.Identity。[Application | External | TwoFactorRememberMe | TwoFactorUserId]在Asp。净的核心。
    • 方法可以通过session_identifiers在tcell_agent.config参数。

v1.0.0

2018-04-05

  • 增加了对基于路由、路径、客户端IP组合的复杂阻塞规则的支持,参数,以及参数的值。

v0.6.3

2018-03-27

固定

  • 修正了一个问题,在帐户接管仪表板和登录事件页面,失败的登录计数没有准确地报告,因为一个错误形成的应用防火墙事件。

已知的问题

  • JSON post body检查不正常。这将在v1.0.2中解决

v0.6.2

2018-03-09

  • 对jsagent插入控制规则的新支持。您现在可以选择URL路径或路径前缀来从自动js-agent插入行为中排除,同时为所有其他URL启用它。

v0.6.1

2018-03-07

固定

  • 改进了WebResource的修复。axd交互。当使用虚拟应用程序/子应用程序时,仍然可能遇到0长度的HTTP响应。
  • 修正了一个问题Iisreset.如果安装程序是以没有管理员权限的用户运行的,则命令可能失败。

v0.6.0

2018-02-12

固定

  • 修复了代理配置文件中的allow_payloads设置。在此之前,配置文件无法控制设置,并且总是会发送有效载荷。有关此设置的信息,请参阅服务器代理配置。

v0.5.3

2018-02-05

  • 添加的诊断工具。要使用,请设置环境变量TCELL_AGENT_DIAGNOSTICS = true并浏览到https:// /tcell.diagnostics.

改进的

  • 如果在下载策略更新之前,请使用缓存的策略更快的启动时间。这与其他代理商一致。
  • 潜在的嘈杂日志条目“未知路由”是从信息到调试的。这通常会减少伐木开销。

固定

  • 修正了一个问题,ASP web表单将无法工作时,代理加载,由于0字节长度的WebResource。axd文件。(尽管见0.6.1)

已知的问题

  • .NET代理报告的包不会与服务中的CVE相关联。
  • 在。net核心中不支持区域路由。
  • 从版本0.3.0直接升级将无法工作,因为在0.3.0之后修复了一个问题。在安装新版本之前,您将需要完全卸载0.3.0版本。
  • 由于资源缺少,ASP Web表单可能无法正确呈现。

v0.5.2

2018-01-08

  • 在登录挂钩中添加了对重复密码标识的支持
    • 这使得服务能够识别始终使用相同用户名和密码的登录失败,以避免以账户收购攻击标记自动配置错误。请参阅登录挂钩页面。网获取详细信息。
  • 通过将指标和登录工作移出请求路径,减少了请求开销。
  • 对于。net框架,增加了通过捆绑包检测nuget包版本的支持。配置文件。

固定

  • 将UserAgent信息添加到登录事件中,这是以前丢失的。

已知的问题

  • .NET代理报告的包不会与服务中的CVE相关联。
  • 从版本0.3.0直接升级将无法工作,因为在0.3.0之后修复了一个问题。在安装新版本之前,您将需要完全卸载0.3.0版本。
  • 由于资源缺少,ASP Web表单可能无法正确呈现。

v0.5.1

2017-12-27

  • tcell_agent.config现在是可选的,所有必要的配置都可以通过环境变量来完成。
  • 添加了SQL异常和CSRF错误的应用防火墙排除规则。
  • 现在支持应用防火墙排除专门针对空路径的规则。
  • 对于。net框架:
    • 如果存在RewriteModule或applicationrequeststrouting,就会添加一个自动警告,鼓励使用“iis_url_rewrite”配置。

固定

  • sqli3和sqli8的一些误报已经被解决。
  • 修复了在代理关闭期间发生的异常。
  • 添加“iis_url_rewrite”到配置,以支持使用UrlRewrite的应用程序。取代旧的“iis_application_request_routing_paths”。

v0.5.0

2017-12-11

  • Log和cache现在分别默认为Tcell和Tcell/ cache目录。
  • 策略缓存文件名现在包括应用程序ID,以处理配置的应用程序ID中的更改。
  • Nuget包Tcell。代理发布到nuget.org。

固定

  • 修复了在Mac OS X和Linux上启动时的崩溃

v0.4.2

2017-12-05

固定

  • 修复了在App防火墙排除规则中处理路径约束时的崩溃。

v0.4.1

2017-12-05

固定

  • 提高了jsagent注入的速度。

v0.4.0

2017-11-26

  • AppFirewall支持为以下事件定制排除请求(白名单事件的预期情况):空字节,异常请求大小,返回字符,用户代理,跨站脚本,命令注入,文件路径遍历,HTTP错误码,SQL注入,和异常响应大小。
  • 通过对象重用提高性能,以减少占用空间和垃圾收集的影响。

固定

  • 修复了一个问题,即使发生异常,也会被错误地发现。
  • 修正了登录钩子发送非哈希会话ID到tCell web UI的问题。
  • 修复了当IIS / ASP.NET阻止请求时未提供对TCELL服务的请求数据的问题。
  • 修正了处理非utf8数据序列化可能崩溃的问题。

v0.3.0

2017-10-13

  • 代理分析器现在是可选的,代理将被注册为IIS HttpModule,而不是在运行时使用分析器工具代码将其注册为HttpModule。此更改还可以在没有Global的应用程序中加载代理。asax文件,像WCF应用程序。
  • 为微软Azure Web应用增加了通过NuGet安装的支持。
  • 增加了对app_id, api_key, tcell_input_url, tcell_api_url的环境变量配置支持。

固定

  • 修复了IIS在执行IISRESET时无法正确重置的问题。

v0.2.8

2017-10-04

  • 添加了配置选项,以忽略由应用程序请求路由模块处理的路径。这是代理模块和应用程序请求路由模块之间的访问冲突的解决方案。路径的正则表达式模式列表可以添加到tcell_agent.config中的“iis_application_request_routing_paths”中

v0.2.7

2017-09-27

  • 增加了inspect_json_posts配置参数。设置此选项将启用对json请求体的应用防火墙检测。

v0.2.6

2017-09-27

  • 数据重定向的参数值中将包含mediatype。
  • AppFirewall现在支持排除路径。这些可以在UI中设置。

v0.2.5

2017-09-11

  • 增加了对IIS中的OWIN应用程序的支持
  • 增加了对代理配置文件变量的支持,以生成非标准的CSP头名称(enable_nonstandard_csp)
  • 添加了一个全局代理配置环境变量来指定tCell配置文件的完整路径(TCELL_AGENT_CONFIG)

固定

  • 修正了一个问题,在web表单应用程序中的路由可能是空的,并导致崩溃
  • 修正了一个问题,有时代理不会启动,因为一些库丢失