• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.jquery.Legacy“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, werden ältere vorab gepatchte JQuery-Versionen verwendet, die ungepatchte Schwachstellen in die Bibliothek einführen. Bei „falsch“ werden die Sicherheitspatches JQuery 1.12.3 und 2.2.3 integriert. Die Systemeigenschaft ist eine Ausfallsicherheit, falls Organisationen auf die nicht gepatchten Versionen von AngularJS angewiesen sind, um ihre anwenderdefinierten Implementierungen auszuführen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann potenziell zu Sicherheitsrisiken führen, die aus Angriffen auf Schwachstellen entstehen, die in veralteten Versionen der JQuery-Bibliothek erkannt wurden.

Regelskript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „com.Glide.Snap.enable_Scan“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Virenschutzprüfung deaktiviert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Anwender können schädliche Dateien herunterladen, was zu einer Gefährdung des Desktops und der Sitzung führt.

• Beschreibung
  • (Alt)

    Steuern Sie die Zeitüberschreitung bei inaktiven Sitzungen für nicht authentifizierte Anwender mit der Systemeigenschaft „glide.guest.session_timeout". Erhöhen Sie den Wert dieser Eigenschaft, um den Zeitraum zu verlängern, in dem Ihre Instanz Sitzungen über den Standardwert von 30 Minuten hinaus aufrechterhält. Vermeiden Sie übermäßig große Zeitüberschreitungswerte, die die Anzahl der von der Instanz beibehaltenen Sitzungen erhöhen und geringfügige Verfügbarkeitsbedenken verursachen können.

  • (Neu)

    Verwenden Sie die Systemeigenschaft glide.guest.session_timeout, um die Zeitüberschreitung bei inaktiven Sitzungen für nicht authentifizierte Anwender zu steuern. Standardmäßig beträgt der Wert dieser Eigenschaft 30 Minuten. Wenn Verfügbarkeitsbedenken bestehen, da zu viele Sitzungen im Arbeitsspeicher beibehalten werden, kann der Wert dieser Eigenschaft auf 5 gesenkt werden. Vermeiden Sie, diese Eigenschaft auf einen Wert von mehr als 30 festzulegen, da große Zeitüberschreitungswerte die Anzahl der von der Instanz beibehaltenen Sitzungen erhöhen und zu geringfügigen Verfügbarkeitsbedenken führen können.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Glide-Eigenschaft „glide.guest.session_timeout' auf einen Standardwert von 30 festgelegt ist. In seltenen Fällen von Verfügbarkeitsbedenken in der Instanz kann es wünschenswert sein, diesen Wert auf 5 zu senken.

  • (Neu)

    Stellen Sie sicher, dass die Glide-Eigenschaft „glide.guest.session_timeout' auf den Standardwert 30 konfiguriert ist. In dem seltenen Fall bestehen Verfügbarkeitsbedenken, da zu viele Sitzungen im Arbeitsspeicher beibehalten werden. Der Wert dieser Eigenschaft kann auf 5 reduziert werden.

• Sicherheitsrisiko
  • (Alt)

    Große Zeitüberschreitungswerte können die Anzahl gleichzeitiger Sitzungen in Ihrer Instanz erhöhen, was zu geringfügigen Verfügbarkeitsbedenken führt.

  • (Neu)

    Vermeiden Sie es, diese Eigenschaft größer als 30 festzulegen. Große Zeitüberschreitungswerte erhöhen die Anzahl der Sitzungen, die von der Instanz beibehalten werden, und können zu geringfügigen Verfügbarkeitsbedenken führen.

• Funktionale Auswirkung
  • (Alt)

    Kleine Zeitüberschreitungswerte können zu einer unerwünschten Anwender-Experience führen, da Sitzungen zu schnell ablaufen.

  • (Neu)

    Kleine Zeitüberschreitungswerte können zu einer unerwünschten Anwender-Experience führen, da Sitzungen zu schnell ablaufen. Wenn Verfügbarkeitsbedenken bestehen, da zu viele Sitzungen im Arbeitsspeicher beibehalten werden, kann der Wert dieser Eigenschaft auf 5 gesenkt werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.databrokerrestapiprocessor“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist keine Standardautorisierung für alle eingehenden Daten-Broker-Rest-API-Anforderungen erforderlich.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann zur Offenlegung nicht authentifizierter Informationen aus der Instanz führen.

• Kurzbeschreibung
  • (Alt)

    Konfigurieren Sie Die Administratorrollen Der Ereignismanagement-Zuweisungsgruppe

  • (Neu)

    Administratorrollen für Ereignismanagement-Zuweisungsgruppen konfigurieren

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Glide-Eigenschaft „evt_mgmt.connector_assignment_group_admin_roles“ enthält eine kommagetrennte Zeichenfolge, die die Rollennamen angibt, die Administratorzugriff über das Zuweisungsgruppenfeld in Connector-Instanzen haben.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Ändern der Standardrollen in dieser Liste kann dazu führen, dass nicht autorisierte Anwender Ereignisintegrationen in der Instanz ändern können.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Das Ändern der Standardrollen in dieser Liste kann verhindern, dass zuvor autorisierte Anwender Ereignisintegrationen in der Instanz ändern.

• Abhängigkeiten und Voraussetzungen
  • (Alt) <blank>
  • (Neu)

    Anwendung: Ereignismanagement

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Zeichenfolge

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    administrator,evt_mgmt_admin,sn_sow_srm.srm_admin

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die folgende Eigenschaft ist für die Implementierung einer Überprüfung von Report_View-ACLs für veröffentlichte Berichte verantwortlich. Wenn „glide.report.report_view.check_published" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Überprüfung von Report_View-ACLs für veröffentlichte Berichte deaktiviert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dadurch können vertrauliche Daten potenziell an nicht authentifizierte Anwender weitergegeben werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Der AjaxEvaluator-Prozessor führt diese Skripts in der Sandbox aus, es gibt jedoch mehrere zusätzliche Eigenschaften, mit denen der Umfang der Aktivitäten in der Sandbox erweitert oder vollständig deaktiviert werden kann. Im schlimmsten Fall kann ein Anwender Skripts einfach als Administratorberechtigung ausführen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.script.allow.ajaxevaluate“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, kann die System-API für die Ausführung von Clientskripts über AJAX-Aufrufe angreifbar sein.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „password_reset.verification.delay" nicht auf den empfohlenen Wert von „1000“ oder mehr festgelegt ist, sind Verifizierungscodes für die Passwortzurücksetzung anfällig für Brute-Force-Angriffe.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Verzögerung in Millisekunden schränkt die Fähigkeit eines böswilligen Akteurs ein, mithilfe von Automatisierungstools („Bots“) zu versuchen, die Identifizierungs- oder Verifizierungsdetails von Anwendern zu erraten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „glide.authenticate.only.allow.active.user.login' nicht auf „wahr“ festgelegt ist, können Anwender in der Tabelle „sys_user“, die als inaktiv markiert sind, sich weiterhin bei der Instanz anmelden. Anwender werden möglicherweise als inaktiv markiert, wenn sie nicht mehr über die Berechtigung zur Anmeldung verfügen (z. B. während der Kündigung aus einem Unternehmen).

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Inaktive Anwender können weiterhin auf die Instanz und alle Daten zugreifen, auf die sie zuvor zugreifen konnten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Das standardmäßig aktivierte Plugin für hohe Sicherheit erstellt mehr als 900 verschiedene Konfigurationen, um das Sicherheitsniveau in Ihrer Instanz zu steuern. Diese Konfigurationen ermöglichen eine strikte Zugriffssteuerung, Eingabevalidierung und Ausgabecodierung. Sie trennt Anwenderfunktionen von Zugriffssteuerungsverwaltungsfunktionen, indem Administratoren explizit in die Rolle „Security_admin“ hinaufsteigen müssen, bevor sie Änderungen an der Zugriffssteuerung vornehmen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Kritische Teile der Instanz können nicht autorisiertem Zugriff oder unbefugter Manipulation ausgesetzt sein.

• Kurzbeschreibung
  • (Alt)

    Plugin „Gleichzeitige Sitzungen begrenzen“

  • (Neu)

    Aktivieren Sie Das Plugin „Gleichzeitige Sitzungen Begrenzen“

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Mit dem Plugin „gleichzeitige Sitzungen begrenzen“ (com.glide.limit.concurrent.sessions) kann ein Administrator die Anzahl der aktiven Sitzungen pro Anwender/Rolle begrenzen. Es wird empfohlen, dieses Plugin zu aktivieren und zu konfigurieren, um die Wahrscheinlichkeit von Sitzungs-Hijacking zu reduzieren. Wenn dieses Plugin aktiviert und konfiguriert ist, gibt es einen Grenzwert für die Anzahl der offenen Sitzungen, die gekapselt werden können.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine höhere Anzahl aktiver gleichzeitiger Sitzungen stellt ein Sicherheitsrisiko dar, da die Angriffsfläche für Accountkompromittierung erhöht wird, was die Erkennung nicht autorisierter Zugriffe erschwert und die Verantwortlichkeit von Sitzungen auf Geräten und Standorten erzwingt.

• Plugin-Anwendbarkeit
  • (Alt)

    Plugin „Gleichzeitige Sitzungen begrenzen“

  • (Neu) <blank>

• Kurzbeschreibung
  • (Alt)

    Inaktive Sitzungen proaktiv für ungültig erklären

  • (Neu)

    Sitzungen Nach Definierter Dauer Proaktiv Für Ungültig Erklären

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn glide.active.session.timeout.invalidate.session nicht auf „wahr“ festgelegt ist, gibt es ein kleines Zeitintervall, in dem eine Sitzung mit Zeitüberschreitung nicht proaktiv für ungültig erklärt wird, bevor der Tomcat-Container die Sitzung für ungültig erklärt. Die Dauer dieses Zeitintervalls hängt von zusätzlichen Eigenschaften ab, die unterschiedliche Anwendungsfälle darstellen. glide.ui.active.session.life_span: der Wert dieser Eigenschaft definiert die Zeit in Minuten, bevor eine UI-Sitzung für ungültig erklärt wird. glide.guest.active.session.life_span: der Wert dieser Eigenschaft definiert die Zeit in Minuten, bevor eine Gastsitzung für ungültig erklärt wird. glide.integrations.active.session.life_span: der Wert dieser Eigenschaft definiert die Zeit in Minuten, bevor eine Integrationssitzung für ungültig erklärt wird.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Glide-Eigenschaft „glide.active.session.timeout.invalidate.session' vorhanden und auf den Wert „wahr“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.

  • (Neu)

    Stellen Sie sicher, dass die Eigenschaft „glide.active.session.timeout.invalidate.session" auf „wahr“ festgelegt ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn eine Sitzung gekapert wird, kann ein Angreifer während dieses kurzen Zeitraums möglicherweise eine Sitzung verwenden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Mit dem Plugin „Zero Trust – richtlinienbasierter Sitzungszugriff“ können Sicherheitsadministratoren den Anwenderzugriff in einer Sitzung basierend auf IP, Standort, Identitätsanbieterattributen und Anwenderattributen mithilfe adaptiver Authentifizierungsrichtlinien reduzieren. Wenn diese Eigenschaft aktiviert ist (auf „wahr“ festgelegt), werden die Rollen von Anwendern, die sich über ein Mobilgerät anmelden, wie durch die Plugin-Richtlinien konfiguriert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Instanzadministratoren möchten möglicherweise den Zugriff mit hohen Berechtigungen einschränken, wenn sich Anwender über ein Mobilgerät anmelden, was auf eine unsichere Umgebung für vertrauliche Vorgänge hinweist.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Bei „wahr“ werden Regeln/Filter aus der Tabelle „sn_query_rule“ verwendet, um den Lesezugriff auf Tabellen im Zusammenhang mit dem Außendienstmanagement (Arbeitsauftrag und Arbeitsauftragsaufgabe) für den angemeldeten Anwender durch Abfrage-Business-Regeln und Lese-ACLs zu bestimmen. Bei „falsch“ werden die Datensätze nicht basierend auf Abfrageregeln gefiltert. Geschäft abfragen

    Regeln fügen zusätzliche Sicherheitsvalidierungen hinzu. Insbesondere filtert diese Eigenschaft Datensätze nach Service Desk-Mitarbeitern, Qualifizierern und Dispatchern basierend auf ihrem zugewiesenen Gebiet oder ihrer Gebietsmitgliedschaft. Es wird empfohlen, beim Lesen von Datensätzen das Prinzip der geringsten Berechtigung zu befolgen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Es kann ein erhöhtes Risiko der Datengefährdung durch Außendienstmanagement-Tabellen bestehen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.DB.loguser“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, können Endanwendern sensible serverseitige Fehlermeldungen angezeigt werden. Fehlermeldungen können Stapelverfolgungen und Informationen zur Struktur der Datenbank enthalten, die einem Angreifer das Wissen bereitstellen können, das er benötigt, um eine erfolgreiche SQL-Injection durchzuführen, falls die Voraussetzungen vorhanden sind.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nachrichten können Stapelverfolgungen und Datenbankstrukturdetails enthalten, die Angreifer nutzen können, um gezielte SQL-Injection-Angriffe zu entwickeln, wenn andere Schwachstellen vorhanden sind. Durch das Offenlegung interner Fehlerinformationen wird das Risiko der Ausnutzung erhöht.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Glide-Eigenschaft com.Glide.SOAP.Guest_user, um die Zugriffsebene nicht authentifizierter SOAP-Anforderungen zu steuern. Wenn diese Eigenschaft nicht auf den empfohlenen Wert von SOAP.Guest festgelegt ist oder auf einen Anwender mit eingeschränkten Berechtigungen festgelegt ist, werden SOAP-Anforderungen im Namen dieses Anwenders ausgeführt.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Eigenschaft „com.glide.soap.guest_user“ auf „soap.gast“ festgelegt ist.

  • (Neu)

    Stellen Sie sicher, dass die Eigenschaft auf SOAP.Guest festgelegt ist, um eine angemessene Zugriffsebene für nicht authentifizierte SOAP-Anforderungen sicherzustellen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierte SOAP-Anforderungen können nicht autorisierten Zugriff zulassen, wenn sie nicht ordnungsgemäß eingeschränkt werden. Die Bewertung dieser Anforderungen anhand eines Anwenders mit minimalen Berechtigungen trägt dazu bei, das Risiko der Offenlegung vertraulicher Vorgänge zu reduzieren. Wenn diese Kontrolle nicht durchgesetzt wird, kann dies zu erhöhtem Zugriff und Beeinträchtigung der Systemintegrität führen.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    SOAP-Anforderungen sind auf die Berechtigungen des SOAP.Guest-Anwenders beschränkt. Wenn eine Integration auf einer Ressource basiert, die nicht über die entsprechenden ACLs für SOAP.Guest verfügt, führen diese Anforderungen zu Berechtigungsverweigerungen.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Zeichenfolgenanwender-ID (user_Name) eines Anwenders in der Tabelle „sys_user“

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    SOAP.Gast

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert die Connection Factorys des Java Messaging Service (JMS), die der MID-Server verwenden kann. Sie ist für einige ausgewählte Fabriken vorgesehen, die von Plugins für JMS-Aktivitäten oder -Aktionen benötigt werden. Das Einbeziehen zusätzlicher Fabriken könnte ein Schritt in einer Angriffskette für Schwachstellen wie JNDI-Einfügung sein, die auf Fähigkeiten basieren, die ein Angreifer in zulässigen Fabriken nutzen kann. Um die Möglichkeit einer genutzten Schwachstelle zu verhindern, schließen Sie Fabriken nicht über die erforderlichen Standardwerte hinaus ein.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Erweiterung des Satzes von Java Messaging Service (JMS)-Connection Factorys über die erforderlichen Standardwerte hinaus führt zu einem erheblichen Risiko, da die Angriffsfläche für Ausnutzungstechniken wie JNDI-Injection erhöht wird. Wenn Sie zusätzliche Fabriken zulassen, können Angreifer unsichere Konfigurationen oder Schwachstellen in Messaging-Komponenten als Teil einer breiteren Angriffskette nutzen, was möglicherweise zu Remotecodeausführung oder Systemgefährdung führt. Die Beschränkung der Fabriken auf die von der Kernfunktionalität erforderlichen Fabriken ist wichtig, um eine sichere Situation zu gewährleisten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.sg.blur_ui_when_backgrounded“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist die UI der mobilen App sichtbar, wenn sie über den App-Umschalter angezeigt wird, sobald die App im Hintergrund erstellt wurde.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das unscharf werdende Mobile Background-Screenshots bietet ein höheres Maß an Vertraulichkeit und Datenschutz auf dem lokalen Gerät, indem diese Ansicht im Hintergrund unscharf dargestellt wird.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „glide.sg.device_encryption_enabled' auf „wahr“ festgelegt ist, überprüft die mobile ServiceNow-App, ob die Geräteverschlüsselung und der Gerätepasscode aktiviert sind. Wenn Verschlüsselung oder Passcode nicht aktiviert ist, darf sich der Anwender auf Mobilgeräten nicht bei der Instanz anmelden. Diese Eigenschaft erzwingt die FIPS 140-2-Verschlüsselung. Verschlüsselung und Passcode von Mobilgeräten sind wichtige Sicherheitsfunktionen, um sicherzustellen, dass ein nicht autorisierter Anwender nicht auf den Inhalt des Geräts zugreifen kann, auch wenn das Gerät physisch abgerufen wird.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies birgt das Risiko, dass vertrauliche Daten, die über die mobile App gespeichert oder aufgerufen werden, offengelegt werden können, wenn das Gerät verloren geht, gestohlen oder gefährdet wird. Ohne Verschlüsselung und Passcodedurchsetzung können nicht autorisierte Anwender physischen Zugriff auf vertrauliche Informationen erhalten, wodurch die Compliance mit FIPS 140-2 untergraben und der allgemeine Datenschutz geschwächt wird.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „com.glide.security.protected_table.enabled' auf „wahr“ festgelegt ist, wird das Plugin „geschützte Tabellen“ verwendet, um zu verhindern, dass Anwender mit höheren Berechtigungen in einer Instanz Protokolltabellen manipulieren. Die folgenden Protokollierungstabellen haben besonderen Schutz, wenn diese Eigenschaft auf „wahr“ festgelegt ist: Syslog (Konfiguration nicht änderbar) syslog_transaction sys_outbound_http_log sysevent sys_Audit sys_Push_Notification protected_table_Configuration (Konfiguration nicht änderbar) syslog_App_scope

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Protokollintegrität muss aufrechterhalten werden, um die Erkennung schädlicher Aktivitäten zu ermöglichen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „Glide.Report.Report_View.read_acl“ erzwingt bei Festlegung auf „erzwingen“ die LESE-ACL (Tabellenebene) für Berichtsfunktionen, wenn keine Berichtsansichts-ACL für die Tabelle/das Feld vorhanden ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    ACLs können umgangen werden, was zur Offenlegung potenzieller vertraulicher Informationen führt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Methoden „gs.addErrorMessageNoSanitizationMessaging()“ und „gs.addInfoMessageNoSanitization()“ werden in der Skripting-Umgebung für Protokollierung und Benachrichtigungen verwendet. Beide sind in der Sandbox verfügbar, wenn diese Eigenschaft nicht auf den empfohlenen Wert „falsch“ festgelegt ist. Die Sandbox ist eine Skripting-Umgebung mit geringen Berechtigungen, die nicht authentifizierten Anwendern ohne Rolle zur Verfügung steht. Beide Methoden können verwendet werden, um einem Anwender nicht bereinigte Eingaben anzuzeigen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Anzeigen nicht bereinigter Eingaben für den Anwender ist gefährlich, da nicht bereinigte Eingaben gefährlichen Code enthalten können, der im Browser des Anwenders ausgeführt wird. Dies kann für herkömmliche reflektierte XSS-Angriffe verwendet werden. Reflektierte XSS-Angriffe können in mehreren Szenarien verwendet werden, einschließlich Sitzungs-Hijacking.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft „password_reset.sms.use_notify" steuert die Benachrichtigung über den SMS-Code zur Nutzung für Registrierung und Verifizierung. Wenn „password_reset.sms.use_notify" auf den empfohlenen Wert „wahr“ festgelegt ist, wird der Anwender über die Passwortzurücksetzung für die SMS-Verifizierungsmethode und die Registrierung eines neuen Geräts benachrichtigt. Arbeiten mit

    Die SMS-Codebenachrichtigung für Registrierung und Verifizierung ist sicherer als die standardmäßige E-Mail-Benachrichtigung.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Eigenschaft „password_reset.sms.expiry“ auf „wahr“ festgelegt ist.

  • (Neu)

    Stellen Sie sicher, dass die Eigenschaft „password_reset.sms.use_notify“ auf „wahr“ festgelegt ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    E-Mail-basierte Benachrichtigungen sind im Allgemeinen weniger sicher, da sie anfälliger für Accountkompromittierungen und Phishing-Angriffe sind. Die Verwendung von SMS zur Verifizierung bietet eine stärkere Sicherheit der Anwenderidentität und reduziert das Risiko nicht autorisierter Passwortzurücksetzungen oder betrügerischer Geräteregistrierungen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die von ServiceNow bereitgestellten Demozertifikate dürfen nicht in Produktions-SAML-Konfigurationen verwendet werden. Die Zertifikate sind in allen Instanzen mit bekannter Passphrase gemeinsam. Wenn eine der SAML-Eigenschaften, die einen Zertifikatschlüsselspeicher verwenden, aktiv ist (require_signed_authnrequest, require_signed_logoutrequest oder encrypt_Assertion), dürfen die Demodaten nicht verwendet werden. Da Demodaten von allen Instanzen gemeinsam genutzt werden, gibt es keine Integritätsgarantie für Anforderungen, die mit gemeinsam genutzten Zertifikaten signiert wurden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Vom IdP verschlüsselte Nachrichten können von jedem Akteur entschlüsselt werden, wenn sie abgefangen werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „glide.authenticate.multifactor.email.otp.enabled" steuert, ob ein Token für den zweiten Authentifizierungsfaktor per E-Mail gesendet werden kann. E-Mail wird als schwacher MFA-Faktor betrachtet, auf den ein Angreifer wahrscheinlicher Zugriff erhält, um MFA zu besiegen. Wenn die Eigenschaft „falsch“ ist: 1. Der Anwender sieht auf dem MFA-Validierungsbildschirm keine E-Mail-OTP-Option. Wenn die Eigenschaft „wahr“ ist:

    2. Der E-Mail-Faktor wird in Fällen angezeigt, in denen die E-Mail-Faktor-Richtlinie inaktiv ist und keine andere 2fa-Richtlinie registriert ist. 3. Der E-Mail-Faktor wird angezeigt, wenn die E-Mail-Faktor-Richtlinie aktiv ist und als „wahr“ ausgewertet wird. 4. Der E-Mail-Faktor wird nicht angezeigt, wenn die E-Mail-Faktor-Richtlinie aktiv und als „falsch“ ausgewertet ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein Angreifer kann MFA erfolgreich umgehen, wenn er über das Passwort des Anwenders verfügt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    AnwenderCookie v3 wird nur generiert, wenn die Eigenschaft glide.ui.secure.cookies.use_kmf deaktiviert ist. AnwenderCookie v3 ist nicht sicher, da der geheime Schlüssel für HMAC im Quellcode gespeichert und für alle Kunden identisch ist. Durch Festlegen der Eigenschaft „glide.ui.secure.cookies.use_kmf" auf „wahr“ wird AnwenderCookie v3.1 verwendet, und der geheime Schlüssel wird im Sicherheitsspeicher wie KMF gespeichert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies führt zu einem erheblichen Risiko von Sitzungs-Hijacking, da Angreifer, die den Schlüssel erhalten oder zurückentwickeln, Authentifizierungscookies fälschen und die Identität von Anwendern annehmen können.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Mit dieser Eigenschaft kann ein Kunde den Interpolationsschutz speziell für geschachtelte Jelly-Ausdrücke aktivieren oder deaktivieren. Der Interpolationsschutz stellt sicher, dass Jelly-Ausdrücke, die in JavaScript verwendet werden, als sicher eingestuft werden müssen, indem sie entweder unter bestimmte Kategorien fallen ODER im Ausdruck selbst als SICHER markiert werden. Diese Eigenschaft wurde hinzugefügt, um vor möglicherweise gefährlichen Jelly-Ausdrücken zu schützen, die in einem anderen Jelly-Ausdruck geschachtelt sind.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein ungeschützter interpolierter Jelly-Ausdruck kann dazu führen, dass ein böswilliger Akteur einen gestalteten GET-Parameter an eine Jelly-Seite sendet, und dazu führen, dass der Inhalt dieses Parameters als serverseitiges JavaScript mit Administratorrechten ausgewertet wird.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Boolean

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    wahr

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Mit dieser Eigenschaft werden XML-Werte auf Parser-Ebene für die Anwenderoberfläche mit Escape-Zeichen versehen. Verhindert reflektierte und gespeicherte Cross-Site-Skripting-Angriffe. Diese Eigenschaft gilt nicht im Serviceportal.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.ui.escape_text" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden XML-Werte auf Parser-Ebene für die Anwenderoberfläche nicht mit Escape-Zeichen versehen. Dadurch werden Jelly-Vorlagen anfällig für reflektierte und gespeicherte Cross-Site-Skripting-Angriffe.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    GlideRecord bot bereichsübergreifenden Erstellungs-/Aktualisierungszugriff auf Tabellen, die nicht mit dieser Zugriffsebene konfiguriert wurden. Um zu verhindern, dass bei Kunden beim Patchen dieses bereichsbezogenen Zugriffsverhaltens Anwendungen beschädigt werden, wurde die Eigenschaft „glide.record.legacy_cross_scope_access_policy_in_script“ erstellt. Bei „wahr“ greift der bereichsübergreifende Zugriff auf veraltetes Verhalten zurück (unsicher). Diese Eigenschaft deaktiviert die Umfangsdefinition, sodass bereichsbezogene Apps auf globale Skriptschnittstellen zugreifen können.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Es ist die beste Sicherheitspraxis, Umfangsbeschränkungen zu haben. Die Umfangsdefinition stellt sicher, dass Anwendungen nur auf Ressourcen zugreifen können, die explizit Zugriff haben oder innerhalb ihres Umfangs liegen, wobei das Prinzip der geringsten Berechtigung befolgt wird. Das Deaktivieren dieser Funktion kann Auswirkungen auf Vertraulichkeit, Verfügbarkeit und Integrität haben.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert das Kontrollkästchen „mich speichern“ auf der Anmeldeseite, um zu verhindern, dass Anmeldeinformationen zwischengespeichert werden, wenn sie auf „wahr“ festgelegt sind. Wenn der Wert auf „falsch“ festgelegt ist, ist das Zwischenspeichern von Authentifizierungsinformationen zulässig, und das Kontrollkästchen „mich speichern“ wird angezeigt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies erhöht das Risiko eines nicht autorisierten Zugriffs, wenn das Gerät freigegeben, verloren oder gefährdet wird, da im Cache gespeicherte Anmeldeinformationen es Angreifern ermöglichen können, die Authentifizierung zu umgehen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert das gewünschte Transportverschlüsselungsprotokoll. Wenn „Glide.Glide.outbound.sslv3.disabled“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, verwenden ausgehende MID-Serververbindungen wie REST- und SOAP-Anforderungen SSL als Transportprotokoll. SSL hat sich 2014 als unsicher erwiesen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    SSLv3 hat sich seit 2014 aufgrund von Schwachstellen wie PUDEL als unsicher erwiesen, was es anfällig für man-in-the-Middle-Angriffe und Datenabfangsvorgänge macht. Das Zulassen von SSLv3 untergräbt die Transportverschlüsselung und legt vertrauliche Daten während der Übertragung offen, was gegen moderne Sicherheitsstandards verstößt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Ein Administrator kann eine E-Mail-Eigenschaft festlegen, um Anwender automatisch aus eingehenden E-Mails zu erstellen. Wenn diese Eigenschaft auf den unsicheren Wert festgelegt ist, erstellt die Instanz automatisch Anwender aus eingehenden E-Mails. Jeder erstellte Anwender hat dasselbe hartcodierte Standardpasswort, was die Umgehung der Authentifizierung durch Brute Force erleichtert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die automatische Erstellung von Anwendern ohne sichere Passwortkontrollen untergräbt die Authentifizierungssicherheit und erhöht die Wahrscheinlichkeit einer Beeinträchtigung des Systems.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft gibt die maximale Anzahl von Empfängern an, die die Instanz in der Zeile „an:“ für eine einzelne E-Mail-Benachrichtigung auflisten kann. Benachrichtigungen, die diesen Grenzwert überschreiten würden, erstellen stattdessen doppelte E-Mail-Benachrichtigungen, die an eine Teilmenge der Empfängerliste adressiert sind. Jede E-Mail-Benachrichtigung hat die gleiche maximale Anzahl von Empfängern.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann zur Erschöpfung der Ressourcen führen und möglicherweise zu einer Denial of Service-Bedingung (DoS) im E-Mail-Subsystem oder in der Instanz selbst führen. Die Beschränkung der Empfängeranzahl ist wichtig, um Missbrauch zu verhindern und die Systemleistung und -Verfügbarkeit aufrechtzuerhalten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Eigenschaft „Glide.enable.password_Policy“, um die Validierungsregeln für die Passwortstärke für das Formular „Passwort ändern“ anzupassen. Passen Sie die Werte für Länge und Komplexität an die Sicherheitsrichtlinie Ihrer Organisation an. Wenn „Glide.enable.password_Policy“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden Passwortstandards nicht erzwungen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Durchsetzung der Passwortkomplexität ist entscheidend, um eine starke Authentifizierung aufrechtzuerhalten und das Risiko der Kontoübernahme zu reduzieren.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „glide.sg.clear_pasteboard_when_backgrounded“ steuert, ob Text, der aus der mobilen ServiceNow-App kopiert wurde, in der Zwischenablage und in der Zwischenablage beibehalten wird, nachdem sich die App im Hintergrundmodus befindet.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies führt zu einem Risiko der Offenlegung vertraulicher Informationen, da andere Anwendungen auf dem Gerät auf die Zwischenablage zugreifen können, wodurch Anmeldeinformationen, personenbezogene Daten oder vertrauliche Geschäftsdaten offengelegt werden können. Das Erzwingen dieser Eigenschaft trägt dazu bei, unbeabsichtigten Datenverlust in Apps zu verhindern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft ist eine zusätzliche Zugriffssteuerung für das CMDB-Modell. Wenn „csm_cmdb_model.customer_visible_flag“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, hat jeder Anwender mit der Rolle „sn_esm_user“ und sofort einsatzbereiten ACLs Berechtigungen für das CMDB-Modell. Beachten Sie, dass diese Rolle tendenziell externen Anwendern gewährt wird.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Externe Anwender könnten widerwillig Berechtigungen für das CMDB-Modell erhalten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.ui.security.codetag.allow_script" nicht auf den empfohlenen Wert „falsch“ festgelegt ist, ermöglicht diese Eigenschaft gerendertes HTML in Journalfeldern und -Formularen, was Raum für XSS-Angriffe öffnet. Böswillige HTML muss zwischen Code-Tags eingefügt werden, z. B. [Code][/Code].

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Unkontrollierte JavaScript-Angriffe (Cross Site Scripting, XSS), die es böswilligen Akteuren ermöglichen, schädliche Skripts im Browser des Anwenders einzuschleusen und auszuführen. So

    Angriffe können zu Sitzungs-Hijacking, Anmeldeinformationsdiebstahl und Gefährdung vertraulicher Daten führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.security.diag_txns_acl" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, haben alle Anwender (authentifiziert oder nicht) Zugriff auf Diagnoseseiten wie stats.do, xmlstats.do, Threads.do und Replication.do. Diese Endpunkte sind für die Überwachung der Instanzintegrität vorgesehen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Informationen, die von Leistungsüberwachungs-Endpunkten offengelegt werden, können für Angreifer nützlich sein.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Glide-Eigenschaft „glide.service_portal.widget.table_allow_list“ enthält die Liste der Tabellen, auf die nicht authentifizierte Anwender über Serviceportal-Widgets zugreifen dürfen, die die zusätzlichen Sicherheitsprüfungen in der SNCACLWidgetUtil-Skripteinbindung verwenden. Diese Eigenschaft wird nur erzwungen, wenn die Glide-Eigenschaft „glide.service_portal.widget.enforce_public_check“ „wahr“ ist. Es kann zu einer Offenlegung nicht authentifizierter Informationen kommen, wenn unnötige Tabellen in dieser Eigenschaft aufgeführt werden. Tabellen-ACLs werden weiterhin wie zuvor ausgewertet.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierte Anwender können über Serviceportal-Widgets Zugriff auf vertrauliche Daten erhalten, was möglicherweise trotz vorhandener Tabellen-ACLs zur Offenlegung von Informationen führt.

• Fallback-Wert
  • (Alt) <blank>
  • (Neu)

    ''

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    ACLs werden kumulativ ausgewertet. Wenn in einem bestimmten Feld eine Anzahl von ACLs vorhanden ist und die Option „Administrator-Überschreibungen“ für eines davon auf „falsch“ (nicht ausgewählt) gesetzt ist, werden die effektiven Administratorüberschreibungen für alle ACLs als „falsch“ betrachtet. Dies führt dazu, dass Administratoren nicht einmal die ACL übergeben können, für die die Überschreibung gelten soll. Wenn „glide.security.admin.override.accessterm" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die gesamte Regel als „falsch“ ausgewertet, auch wenn einer der ACL-Begriffe unter der ACL-Regel „Administrator-Überschreibungen“ lautet.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    ACLs mit widersprüchlichen Einstellungen für „Administrator-Überschreibungen“ können kumulativ als „falsch“ bewertet werden, wodurch Administratoren möglicherweise daran gehindert werden, auf Felder zuzugreifen, auf die sie Zugriff haben sollen, und versehentlich den Zugriff auf kritische Daten verweigert.

Kurzbeschreibung

• (Alt)

  XMLdoc2-Entitätsvalidierung mit allowlistDisable-Entitätserweiterung erfordern

• (Neu)

  XMLdoc2-Entitätsvalidierung mit Zulässigkeitsliste erforderlich

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Mit der Eigenschaft „Glide.oauth.State.paramater.required System“ kann der Parameter „Status“ in einer OAuth-Anforderung für den Autorisierungscode-Flow erforderlich sein. Ab Madrid-Release fügt die Systemeigenschaft „Glide.oauth.State.Parameter.required“ einen Parameter „Status“ für eine OAuth-Anforderung hinzu. Für zboote Instanzen ist die Eigenschaft „wahr“. Für aktualisierte Instanzen ist die Eigenschaft nicht vorhanden, daher ist der Parameter „Status“ nicht aktiviert. Der Parameter „Status“ ist ein Zeichenfolgenwert und darf keine Sonderzeichen enthalten. Der Statusparameter darf nicht leer oder „“ sein. Wenn der Parameter „Status“ nicht auf „wahr“ gesetzt wird, wird sichergestellt, dass ein Angreifer während der Authentifizierung keine CSRF-Angriffe ausführen kann, kann ein Angreifer Vorgänge als Opfer ausführen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn Sie die Eigenschaft „Glide.oauth.State.Parameter.required“ im OAuth-Autorisierungscode-Flow nicht aktivieren, erhöht sich das Risiko von CSRF-Angriffen (Cross Site Request Forgery), wodurch Angreifer die Identität von Anwendern annehmen und nicht autorisierte Aktionen ausführen können.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „sn_kb_social_qa.max_comments_per_user_daily“ nicht auf den empfohlenen Wert von „500“ oder weniger festgelegt ist, gibt es keine Einschränkung für die Anzahl der QA-Kommentare pro Tag.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Zu viele Kommentare können zu einer Erschöpfung der Ressourcen führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.cs.debug" nicht auf den empfohlenen Wert „falsch“ festgelegt ist, wird die Protokollierung von Chatservernachrichten aktiviert. Wenn Sie den Eigenschaftswert auf „wahr“ festlegen, wird die Protokollierung von Chatservernachrichten in Systemprotokollen aktiviert. Da viele Protokollnachrichten generiert werden, wird empfohlen, sie nur bei Problembehandlungen beim Chatserver zu aktivieren. Nach der Fehlerbehebung sollte die Eigenschaft deaktiviert werden, um zu vermeiden, dass Systemprotokolle verstopft werden. Wenn Sie die Eigenschaft auf „falsch“ festlegen, was auch der Standardwert ist, werden Chatservernachrichten nicht in Systemprotokollen protokolliert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann dazu führen, dass unbeabsichtigte vertrauliche Informationen durch Systemprotokolle gelangen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Glide-Eigenschaft „glide.service_portal.widget.allow_list' bestimmt die Liste der Widgets, die versuchen dürfen, auf eine Tabelle in der Instanz zuzugreifen. ACLs für diese Tabellen werden weiterhin erzwungen. Wenn in Tabellen in der Instanz falsch konfigurierte leere ACLs vorhanden sind, ermöglichen Widgets in dieser Liste möglicherweise den Zugriff auf diese Tabellen, was zur Offenlegung von Informationen führt. Diese Eigenschaft wird nur erzwungen, wenn das Widget SNCACLWidgetUtil verwendet und die Glide-Eigenschaft „glide.service_portal.widget.enforce_public_check“ auf „wahr“ festgelegt ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierte Anwender können über Serviceportal-Widgets unbeabsichtigten Zugriff auf vertrauliche Tabellendaten erhalten, was zu einer potenziellen Offenlegung von Informationen führt.

• Fallback-Wert
  • (Alt) <blank>
  • (Neu)

    ''

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „sn_ext_usr_reg.Reg_link_expiration_days“ nicht auf den empfohlenen Wert von „3“ festgelegt ist, kann ein Registrierungslink von einer anderen Person als dem beabsichtigten Anwender verwendet werden, wenn der Link später erkannt wird.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Längere Ablauffenster schwächen die Sicherheit der Account-Bereitstellung und schaffen Möglichkeiten für nicht autorisierte Account-Erstellung oder Identitätswechsel.

Beschreibung

• (Alt)

  Die beiden Eigenschaften Glide.outbound_http_log.override und Glide.outbound_http_log.override.level

  Arbeiten Sie zusammen, um die Protokollierungsebene für ausgehende HTTP-Anforderungen zu steuern. Wenn „Glide.outbound_http_log.override“ auf „wahr“ festgelegt ist, die Protokollebene für Anforderungen und

  Antworten werden von Glide.outbound_http_log.override.level gesteuert. Wenn die Überschreibungsstufe auf „alle“ oder „erhöht“ festgelegt ist, werden Anforderungs- und Antwort-Header protokolliert

• (Neu)

  Die beiden Eigenschaften Glide.outbound_http_log.override und Glide.outbound_http_log.override.level steuern gemeinsam die Protokollierungsstufe für ausgehende HTTP-Anforderungen. Wenn „Glide.outbound_http_log.override“ auf „wahr“ festgelegt ist, wird die Protokollebene für Anforderungen und Antworten von „Glide.outbound_http_log.override.level“ gesteuert. Wenn die Überschreibungsstufe auf „alle“ oder „erhöht“ festgelegt ist, werden Anforderungs- und Antwort-Header protokolliert

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „sn_ext_usr_reg.captchaEnabled“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird CAPTCHA nicht für die Registrierung externer Anwender validiert und kann zu automatischen Angriffen auf die Account-Erstellung führen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Durchsetzung von CAPTCHA ist entscheidend, um bot-gesteuerte Angriffe zu verhindern und die Integrität des Anwender-Onboarding zu gewährleisten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert, ob Join-Abfragen domänengetrennte Bedingungen erhalten oder nicht, um sicherzustellen, dass sie Domänentrennungsfunktionen für Dot-Walking-Felder anwenden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Vertrauliche Informationen können offengelegt werden, die nicht für eine bestimmte Domäne freigegeben werden sollen.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Es kann moderate funktionale Auswirkungen auf die Instanz haben, wenn Komponenten von den unsicheren domänenübergreifenden Abfragen abhängig sind. Instanzen sollten vor der Aktivierung in Umgebungen außerhalb der Produktion getestet werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.Report.published_reports.enabled“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, können in der Instanz gespeicherte Berichte ohne Authentifizierung sichtbar gemacht werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Zulassen eines nicht authentifizierten Zugriffs auf vertrauliche Daten kann zu einer versehentlichen Offenlegung von Informationen an einen böswilligen Akteur führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.jsonv2“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für den Exportprozessor im JSONv2-Format deaktiviert. Dies geschieht auch in Kombination mit einer falschen Rolle innerhalb der zugehörigen Eigenschaft „Guest_user“ (z. B. ein Anwender mit hohen Berechtigungen wie Administrator).

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf JSON-Exportdaten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der Offenlegung nicht autorisierter Daten dar.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.xmloutputprocessor“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist keine Standardautorisierung für alle eingehenden XMLAusgabeprozessor-Anforderungen erforderlich. Dies kann zur Offenlegung nicht authentifizierter Informationen aus der Instanz führen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf XML-Exportdaten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der Offenlegung nicht autorisierter Daten dar.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „password_Reset.sms.expiry“ gibt die Anzahl der Minuten an, bis der SMS-Code abläuft.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn der Wert zu hoch ist, erraten Angreifer möglicherweise den SMS-Code, um das Passwort zurückzusetzen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die UI-Seiten-sn_va_web_client_app_embed , bei der es sich um einen eingebetteten Webclient für Virtual Agent handelt, enthält die ACL, die in der Tabelle „sys_public“ standardmäßig als „wahr“ markiert ist. Es wurde bestätigt, dass es Anwendungsfälle gibt, in denen öffentliche Barrierefreiheit erforderlich ist, dies ist jedoch keine Best Practice für Sicherheit, um sie auf standardmäßig öffentlich zugänglich festzulegen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Vertrauliche Informationen können nicht authentifizierten Anwendern zugänglich gemacht werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „password_Reset.sms.Pause_window“ nicht auf den empfohlenen Wert von mindestens „2“ Minuten festgelegt ist, kann ein böswilliger Anwender in einem kurzen Zeitfenster viele SMS-Codes für die Passwortzurücksetzung initiieren.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies erhöht die Wahrscheinlichkeit des Angreifers, den SMS-Zurücksetzungscode vorherzusagen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „password_Reset.Request.retry_window“ gibt die Zeitdauer an, bis die Anzahl der Versuche zur Passwortzurücksetzung aktualisiert wird.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn der Wert zu niedrig ist, wird das Brute-Erzwingen gegen Angriffe des Prozesses zur Passwortzurücksetzung viel schneller.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft bietet eine zusätzliche Sicherheitsebene bei Formularübermittlungen/Feldaktualisierungen, indem sichergestellt wird, dass nur Anwender mit den richtigen Berechtigungen ein Formular aktualisieren dürfen. Wenn „glide.security.strict.updates" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, sind Aktualisierungen nicht strikt, d. h. sie können Felder ändern, die für sie sichtbar sind, unabhängig davon, ob sie über die entsprechenden Berechtigungen verfügen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Anwender können Formularfelder einfach aktualisieren, indem sie – unabhängig von ihren tatsächlichen Berechtigungen – Einblick in sie haben. Dies führt zu einem Risiko einer nicht autorisierten Datenänderung und Berechtigungseskalation.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „password_reset.request.expiry“ nicht auf den empfohlenen Wert von „10“ oder weniger festgelegt ist, erhöht dies die Möglichkeit für jemand anderen, die Anforderung zu erraten und zu verwenden und zu versuchen, das Passwort zurückzusetzen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Kurze Ablauffenster sind entscheidend, um die Möglichkeit für nicht autorisierte Passwortzurücksetzungen zu reduzieren und die Accountsicherheit aufrechtzuerhalten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „password_Reset.Request.max_attempt“ bestimmt die maximale Anzahl der fehlgeschlagenen Passwortzurücksetzungsversuche, die ausgeführt werden können, bevor der Anwender den Prozess zum Zurücksetzen des Passworts nicht mehr hat. Der Sperrzeitraum wird durch den Wert in „password_reset.request.max_attempt_window“ bestimmt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn der Wert zu hoch ist, kann ein Brute-Force-Angriff auf den Prozess zum Zurücksetzen des Passworts durchgeführt werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „password_reset.captcha.ignore" nicht auf den empfohlenen Wert „falsch“ festgelegt ist, wird während des Passwortzurücksetzungsprozesses keine CAPTCHA-Challenge-Response verwendet. CAPTCHAs helfen, Automatisierungsangriffe zu verhindern, indem sie den Anwender zur Eingabe einer Abfrageantwort auffordern, die von automatisierten Systemen nicht leicht beantwortet werden kann.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn CAPTCHA deaktiviert ist, kann ein Angreifer bei automatisierten Angriffen auf die Funktion zum Zurücksetzen des Passworts erfolgreicher sein.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.update_set.remote.check_host" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ermöglicht die Testfunktion der Teamentwicklung-Remoteinstanz einen internen Netzwerk-Port-Scan, indem positive/negative Fehlermeldungen ausgegeben werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein Angreifer kann alle offenen Ports auf einem bestimmten Host auflisten oder Antwortdaten abrufen, was zu Informationslecks oder nicht autorisiertem Datenzugriff führt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.ui.Rotation_Sessions“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden identifizierende Informationen in einer Sitzung beibehalten und nicht zwischen Anwendungen rotiert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies erhöht das Risiko von Sitzungs-Hijacking, da Angreifer Sitzungsbezeichner wiederverwenden können, um nicht autorisierten Zugriff zu erhalten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „com.Glide.cs.embed.xframe_options“ nicht auf den empfohlenen Wert „DENY“ oder „SAMEORIGIN“ festgelegt ist, kann der Inhalt der Webanwendung mithilfe einer ALLOW-FROM-URI in eine Drittpartei-Website eingebettet werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Zulassen nicht vertrauenswürdiger Websites von Drittparteien kann Angriffe wie Clickjacking ermöglichen.

• Fallback-Wert
  • (Alt) <blank>
  • (Neu)

    ''

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.installation.production" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Instanz nicht als Produktionsinstanz behandelt, wodurch zboot und andere potenziell gefährliche Skripts zugelassen werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn Sie zulassen, dass eine Produktionsinstanz als nicht-Produktion ausgewertet wird, kann dies zur Offenlegung von Informationen oder zum Denial of Service führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „glide.cms.dashboards.sharing_with_secure_search“ nicht auf „wahr“ festgelegt ist, kann ein Anwender ein Dashboard für Gruppen und Rollen freigeben, auf die er nicht persönlich Zugriff hat. Diese Eigenschaft erzwingt ACLs beim Durchsuchen der Tabellen „sys_user“, „sys_user_role“ und „sys_user_Group“, wenn ein Dashboard freigegeben wird.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Überfreigabe eines Dashboards kann zu geringfügigen Auswirkungen auf die Vertraulichkeit führen, wenn ein Anwender ein Dashboard für einen Anwender, eine Gruppe oder eine Rolle freigibt, der nicht auf das Dashboard zugreifen soll.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die folgende Eigenschaft steuert die Implementierung des Sicherheits-Headers „X-Frame-Optionen“: SAMEORIGIN. Wenn „glide.set_x_frame_options“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, kann eine Instanz in einem iFrame einer anderen Seite eingerahmt werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann zu einem Clickjacking-Angriff führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.Cookies.http_only“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, erfordert die Instanz das Attribut „HttpOnly“ für sensible Cookies nicht.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Attribut „HttpOnly“ wird verwendet, um Angriffe zu verhindern, z. B. siteübergreifendes Skripting, da es keinen Zugriff auf das Cookie mit einem clientseitigen Skript wie JavaScript zulässt.

• Kurzbeschreibung
  • (Alt)

    Erstellung leerer ACLs verhindern

  • (Neu)

    Erstellung leerer ACLs verhindern

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft glide.security.empty_acl.popup_window.enabled steuert, ob Anwender formularbasierte Änderungen an ACL-Datensätzen vornehmen (sys_Security_acl)

    Kann eine ungültige ACL erstellen, aktualisieren oder speichern, die eine ungültige Datenbedingung, ein ungültiges Skript, ein ungültiges Sicherheitsattribut oder eine Rollenliste aufweist oder anderweitig keine konfiguriert ist (eine „leere ACL“). Ab dem Xanadu-Release verweigert eine leere ACL den Zugriff vollständig. In Versionen vor Xanadu ermöglicht eine leere ACL bedingungslosen Zugriff. Wenn die Eigenschaft glide.security.empty_acl.popup_window.enabled auf einen sicheren Wert von „wahr“ festgelegt ist, werden Versuche, eine ungültige oder leere ACL zu erstellen, zu aktualisieren oder zu speichern, blockiert, und ein clientseitiges Modell wird bereitgestellt, um eine Rolle oder ein Sicherheitsattribut für die ACL zu konfigurieren. Wenn die Eigenschaft unsicher auf einen anderen Wert festgelegt ist, sind solche Versuche zulässig, und es wird kein clientseitiges Modell angezeigt. Hinweis: Bei dieser Eigenschaft wird zwischen Groß- und Kleinschreibung unterschieden. Ein Wert von „wahr“ (Großbuchstabe „T“) entspricht „falsch“. Darüber hinaus funktioniert diese Eigenschaft nur, wenn das Plugin „hohe Sicherheit“ (com.Glide.High_Security) installiert und aktiv ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Falsch konfigurierte oder leere Zugriffssteuerungslisten (ACLs) können unbeabsichtigt uneingeschränkten Zugriff auf vertrauliche Daten und Systemfunktionen gewähren. Wenn ACLs keine richtigen Bedingungen, Rollen oder Sicherheitsattribute aufweisen, können sie Autorisierungsgrenzen nicht durchsetzen, sodass Angreifer oder nicht autorisierte Anwender Sicherheitskontrollen umgehen können. Dies kann zu Datenschutzverletzungen, Berechtigungseskalation und Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit auf der gesamten Plattform führen.

• Fallback-Wert
  • (Alt) <blank>
  • (Neu)

    falsch

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.xml“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für den Exportprozessor im XML-Format deaktiviert. Dies geschieht auch in Kombination mit einer falschen Rolle innerhalb der zugehörigen Eigenschaft „Guest_user“ (z. B. ein Anwender mit hohen Berechtigungen wie Administrator). Dies führt zu nicht authentifiziertem Zugriff auf Instanzdaten.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf XML-Exportdaten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der Offenlegung nicht autorisierter Daten dar.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.SOAP.strict_Security“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, benötigen Anwender keine SOAP-Rolle, um nicht öffentliche Seiten anzufordern, wenn das Plugin für hohe Sicherheit oder Webservice installiert ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein nicht autorisierter Anwender kann Zugriff auf vertrauliche Inhalte/Daten in der Zielinstanz erhalten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.ui.magellan.favorites.allow_public“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, können alle nicht authentifizierten Anwender im Navigator auf die Favoriten desselben „Gastanwenders“ zugreifen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierte Anwender dürfen auf die Favoriten des freigegebenen „Gast“-Anwenders zugreifen und potenziell manipulieren, was das Risiko einer nicht autorisierten UI-Anpassung, Datengefährdung und Missbrauch der Anwenderoberfläche erhöht.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert eingehende E-Mail-Aktionen für gesperrte Anwender. Wenn „glide.pop3.process_locked_out" auf „wahr“ festgelegt ist, kann es zu einer Offenlegung von Informationen kommen, da eingehende E-Mails von Anwendern mit gesperrten Accounts empfangen würden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ermöglicht gesperrten Anwendern, weiterhin eingehende E-Mails zu übermitteln, die Datensätze erstellen oder Workflows auslösen können, was ein Sicherheitsrisiko darstellt, indem potenziell nicht autorisierte Aktionen aktiviert werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Bestimmt, ob Anwendungsadministrations-Apps Regeln für globale Zugriffssteuerungslisten (ACL) erben können. Nützlich, wenn für den Datensatzumfang keine ACLs für bereichsbezogene Administratoranwendungen definiert sind.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.security.scoped_administration.honor_global_acl“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, kann ein Anwender mit niedriger Berechtigung mit Berechtigungen für die Anwendung potenziell auf vertrauliche Datensätze zugreifen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „glide.authenticate.session_access.log_audit_event“ auf „wahr“ festgelegt ist, werden Sitzungs-Audit-Ereignisse in der sys_session_access_audit-Tabelle erstellt. Protokollierte Informationen umfassen Anwender, Sitzungs-ID (nicht vertraulich), IP-Adresse, Rollen und Richtlinien.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Informationen darüber, wer auf eine Sitzung zugegriffen hat, werden nicht protokolliert, um Incident-Untersuchungen zu unterstützen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft bestimmt die Zeitüberschreitung der Anwendersitzung. Dies bestimmt, wie lange eine Anwendersitzung aktiv bleibt. Wenn „glide.ui.session_timeout" nicht auf den empfohlenen Wert von „60“ Minuten oder weniger festgelegt ist, kann die Sitzung auch ohne Aktivität lange gültig bleiben. Dies kann ein zu großes Zeitfenster bieten, um Sitzungs-Hijacking-Angriffe zu ermöglichen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine lange Sitzungszeitüberschreitung ermöglicht es inaktiven Sitzungen, über längere Zeiträume gültig zu bleiben, was die Wahrscheinlichkeit erhöht, dass ein Angreifer die Sitzung vor Ablauf übernehmen könnte.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.sys.log_impersonation“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden Ereignisse, die die Identität des Anwenders annehmen, nicht mehr protokolliert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Effektivität der automatisierten Sicherheitserkennungen und Sicherheitsuntersuchungsfunktionen von ServiceNow wird reduziert.

• Fallback-Wert
  • (Alt) <blank>
  • (Neu)

    falsch

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft erzwingt das Bereinigungsverhalten von translated_html-Feldern auf globaler Ebene für Feldzuweisungen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn „com.glide.security.check_unsanitized_html" nicht auf den empfohlenen Wert „erzwingen“ festgelegt ist, kann ein Angreifer beliebiges javascript im Browser des Opfers ausführen (XSS-Angriffe).

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

Fehlerkorrektur

• (Alt)

  Konfigurieren Sie die Eigenschaft glide.active.session.timeout.exception.roles für Rollen, die von Zeitüberschreitungen bei aktiven Sitzungen ausgenommen werden sollen. Dieser Eigenschaftswert ist eine kommagetrennte Liste von Rollen. Der Standardwert ist Edge_Encryption,Mid_Server,maint.

• (Neu)

  Konfigurieren Sie die Eigenschaft glide.active.session.timeout.exception.roles für Rollen, die von Zeitüberschreitungen bei aktiven Sitzungen ausgenommen werden müssen. Dieser Eigenschaftswert ist eine kommagetrennte Liste von Rollen. Der Standardwert ist Edge_Encryption,Mid_Server,maint.

• Name Der Technischen Konfiguration
  • (Alt)

    glide.integrations.active.session.life_span

  • (Neu)

    glide.integrations.active.session.life_span

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Konfiguration erzwingt die maximale Lebensdauer für aktive Gast-HTTP-Sitzungen unabhängig von der inaktiven Zeitüberschreitung. Der konfigurierte Wert ist in Minuten, und der Wert Null deaktiviert das Timeout der aktiven Sitzungen. Diese bestimmte Eigenschaft ist auf Integrationen beschränkt, die über geringe Berechtigungen auf eine Instanz verfügen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine größere maximale Lebensdauer kann es einem Angreifer ermöglichen, länger in einer gestohlenen Sitzung zu verbleiben, wodurch der Umfang eines Security Incidents erhöht wird.

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    0

• Fallback-Wert
  • (Alt) <blank>
  • (Neu)

    0

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Konfiguration erzwingt die maximale Lebensdauer für aktive Gast-HTTP-Sitzungen unabhängig von der inaktiven Zeitüberschreitung. Der konfigurierte Wert ist in Minuten, und der Wert Null deaktiviert das Timeout der aktiven Sitzungen. Diese bestimmte Eigenschaft ist auf Gastanwender beschränkt, die über geringe Berechtigungen auf eine Instanz verfügen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine größere maximale Lebensdauer kann es einem Angreifer ermöglichen, eine gestohlene Sitzung länger beizubehalten, wodurch der Umfang eines Security Incidents erhöht wird.

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    0

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

Beschreibung

• (Alt)

  Die Eigenschaft „sn_customerservice.captchaEnabled" bestimmt, ob die CAPTCHA-Validierung für die Kundenregistrierung im Kundenservicemanagement-Portal aktiviert oder deaktiviert ist.

• (Neu)

  Die Eigenschaft „sn_customerservice.captchaEnabled" bestimmt, ob die CAPTCHA-Validierung für die Kundenregistrierung im Kundenservicemanagement-Portal aktiviert oder deaktiviert ist.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Mit den Skriptaktionen „Prüfung der SNC-Anwendersperre“ oder „Prüfung der SNC-Anwendersperre mit automatischer Entsperrung“ kann der Administrator die Anzahl der fehlgeschlagenen Anmeldeversuche für einen Anwender verwalten. Es sind zwei Skriptaktionen verfügbar, mit denen ein Site-Administrator verwalten kann, wie oft ein Anwender das richtige Passwort angeben kann, bevor er von der Now Platform gesperrt wird. Darüber hinaus steuert die Eigenschaft „glide.user.max_unlock_attempts" die Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche. Wenn der Wert von „glide.user.max_unlock_attempts" über den empfohlenen Wert von „5“ erhöht wird, erhöht sich die Anzahl der Anmeldeversuche, die ein Angreifer für einen bestimmten Anwender durchführen kann.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Zulassen weiterer Versuche bietet Angreifern zusätzliche Möglichkeiten, Passwörter zu erraten, was die Wahrscheinlichkeit eines nicht autorisierten Zugriffs und einer Gefährdung der Anmeldeinformationen erhöht. Die richtige Sperrkonfiguration ist für die Aufrechterhaltung einer hohen Authentifizierungssicherheit von entscheidender Bedeutung.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „glide.cms.catalog_uri_relative" erzwingt relative Links aus dem URI-Parameter in /ess/catalog.do. Wenn „glide.cms.catalog_uri_relative" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die URL nicht mit der Funktion „enforceRelativeURL(url)“ bereinigt. Diese Eigenschaft wirkt sich auf das veraltete Inhaltsmanagementsystem (CMS) aus, das durch das Serviceportal ersetzt wurde.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Absolute URLs können ein Sicherheitsrisiko darstellen, wenn sie als Teil eines Parameters oder eines Feldwerts verwendet werden, wodurch die Quellseite zu einer von Angreifern kontrollierten Website weitergeleitet wird.

• Kurzbeschreibung
  • (Alt)

    Minimieren Sie Die Anzahl Gleichzeitiger Interaktiver Sitzungen, Wenn Das Plugin „Gleichzeitige Sitzungen Begrenzen“ Installiert Ist

  • (Neu)

    Gleichzeitige interaktive Sitzungen mit dem Plugin „Gleichzeitige Sitzungen begrenzen“ verringern

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „glide.authenticate.max.concurrent.interactive.sessions" steuert die Anzahl der aktiven Sitzungen, die für einen Anwender geöffnet sein können, wenn das Plugin „gleichzeitige Sitzungen begrenzen“ (com.glide.limit.concurrent.sessions) aktiviert ist. Es wird empfohlen, dass dieser Wert der Standardwert „1“ ist, um die Anzahl der Sitzungen zu reduzieren, die für einen Anwender offen gelassen werden können.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine größere Anzahl offener Sitzungen bedeutet, dass mehr Sitzungen potenziell gekapert werden können.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.Schema“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist keine Standardautorisierung für alle eingehenden Anforderungen des Tabellenschemaprozessors erforderlich. Der Prozessor für eingehendes Tabellenschema verarbeitet eingehende Schemaanforderungen für die Plattform.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Auslassen der Authentifizierung durch diesen Prozessor führt zu nicht authentifiziertem Zugriff auf Instanzschemadaten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft ermöglicht die Verwendung eines abgelaufenen sicheren Tokens zur Identifizierung und Validierung eingehender Anforderungen. Dieses Token wird verwendet, um Site-übergreifende Angriffe auf Anforderungsfälschung zu verhindern.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn Sie die Verwendung vorheriger oder abgelaufener CSRF-Token zulassen, wird die Anwendung Wiedergabeangriffen ausgesetzt, sodass Angreifer gültige Anforderungen wiederverwenden und möglicherweise nicht autorisierte Aktionen im Namen legitimer Anwender ausführen können.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Boolean

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    falsch

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Eigenschaft „com.snc.platform.security.token.auth.cleanup' auf den unsicheren Wert „falsch“ festgelegt ist, werden abgelaufene API-Schlüssel und HMAC-Geheimnisse nicht gelöscht. Dies schafft ein Potenzial für die Wiederverwendung von Token. Wenn das Token aufgrund von Leckage oder Gefährdung abgelaufen ist, wird die Instanz durch die Wiederverwendung für alle Personen zugänglich gemacht, die das ausgetretene Token besitzen. Abgelaufene Token werden für die durch „com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept' und „com.snc.platform.security.token.auth.days.expired.api_key.is.kept' definierte Anzahl von Tagen aufbewahrt. Ganzzahlwerte von 0 und größer sind gültige Werte. Ein Wert von 0 würde dazu führen, dass die abgelaufenen Token am selben Tag gelöscht werden. Der Standardwert von 7 Tagen oder weniger wird empfohlen.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Eigenschaft „com.snc.platform.security.token.auth.cleanup' in der Tabelle „sys_properties“ nicht vorhanden oder auf „wahr“ festgelegt ist. Stellen Sie sicher, dass die Eigenschaften „com.snc.platform.security.token.auth.days.expired.api_key.is.kept' und „com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept' nicht in der Tabelle „sys_properties“ vorhanden sind oder auf maximal 7 festgelegt sind, wobei 7 der Anzahl der Tage entspricht.

  • (Neu)

    Stellen Sie sicher, dass die Eigenschaft „com.snc.platform.security.token.auth.cleanup' in der Tabelle „sys_properties“ nicht vorhanden oder auf „wahr“ festgelegt ist. Stellen Sie sicher, dass die Eigenschaften „com.snc.platform.security.token.auth.days.expired.api_key.is.kept' und „com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept' nicht in der Tabelle „sys_properties“ vorhanden sind oder auf maximal 7 festgelegt sind, wobei 7 der Anzahl der Tage entspricht.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine hohe Anzahl von Tagen erhöht den Risikozeitraum für die Wiederverwendung von Token.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert, ob der HtmlSanitizerService aktiviert ist. Wenn „com.Glide.cs.html.Bereinigungsfunktion.enabled“ nicht auf „wahr“ festgelegt ist, ist ein gespeicherter XSS-Angriff (Cross Site Scripting) im VA-Webclient möglich.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine XSS-Schwachstelle kann die Berechtigungseskalation an Rollen auf höherer Ebene wie Administrator erleichtern und eine breitere seitliche Bewegung innerhalb des Systems ermöglichen.

Beschreibung

• (Alt)

  Reduzieren Sie das Risiko von Cookie-/sitzungsbezogenem Hijacking von Web-Apps mithilfe einer Systemeigenschaft. Wenn „Glide.http.Headers_config.enabled“ nicht auf „wahr“ festgelegt ist, werden in der Tabelle „HTTP-Antwortheader“ [sys_response_Header] definierte Antwortheaderkonfigurationen nicht verwendet. Sicherheitsbezogene HTTP-Antwortheader enthalten die Inhaltssicherheitsrichtlinie, die XSS-bezogene Schutzmaßnahmen unterstützt. Details zu HTTP-Antwortheadern finden Sie unter HTTP-Antwortheader (https://www.servicenow.com/docs/csh?topicname=http-response-header.html&version=latest).

• (Neu)

  Reduzieren Sie das Risiko von Cookie-/sitzungsbezogenem Hijacking von Web-Apps mithilfe einer Systemeigenschaft. Wenn „Glide.http.Headers_config.enabled“ nicht auf „wahr“ festgelegt ist, werden in der Tabelle „HTTP-Antwortheader“ [sys_response_Header] definierte Antwortheaderkonfigurationen nicht verwendet. Sicherheitsbezogene HTTP-Antwortheader enthalten die Inhaltssicherheitsrichtlinie, die XSS-bezogene Schutzmaßnahmen unterstützt. Details zu HTTP-Antwortheadern finden Sie unter HTTP-Antwortheader (https://www.servicenow.com/docs/csh?topicname=http-response-header.html&version=latest).

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft verhindert, dass Anwender eine Warnung akzeptieren können, die das Senden einer potenziell schädlichen Anforderung an die Instanz ermöglicht. Diese Warnung wird angezeigt, wenn eine POST-Anforderung fehlschlägt, da ein falsch übereinstimmendes Anti-CSRF-Token zu einer der anderen aktiven Sitzungen des Opfers gehört. Wenn „glide.security.csrf.strict.validation.mode" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, kann ein Angreifer einen CSRF-Angriff mithilfe eines durchgesickerten Anti-CSRF-Tokens aus einer anderen aktiven Sitzung, die zum Opfer gehört, formulieren. Eine POST-Anforderung an eine Instanz enthält ein Anti-CSRF-Token in „sysparm_ck“ oder „XUserToken“, das der aktuellen Sitzung des Anwenders entspricht. Wenn das Anti-CSRF-Token stattdessen an eine der anderen aktiven Sitzungen des Anwenders gebunden ist, gibt die POST-Anforderung eine 302-Umleitung an „Security_Interceptor.do“ zurück, wobei dem Anwender die Schaltfläche „Weiter“ zur Verfügung steht, wenn diese Eigenschaft auf „falsch“ festgelegt ist. Wenn Sie auf diese Schaltfläche klicken, wird die Anforderung erneut an die Instanz übermittelt, es sei denn, sie verfügt jetzt über ein gültiges Anti-CSRF-Token. Wenn diese Eigenschaft auf „wahr“ festgelegt ist, zeigt die 302-Weiterleitung zur Seite „Security_Interceptor.do“ keine Schaltfläche „Fortfahren“ an, und der Anwender darf die Anforderung nicht erneut übermitteln.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein erfolgreicher CSRF-Angriff ermöglicht es einem Angreifer, effektiv jeden Vorgang auszuführen, den das Opfer ausführen kann.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft bestimmt, ob ein delegierter Entwickler Anwendern Rollen über Skripts zuweisen kann. Wenn „com.glide.sys.security.delegateddev.block_grant_roles" nicht auf „Empfohlen“ festgelegt ist

    Wert „wahr“, dann kann ein delegierter Entwickler jedem Anwender Rollen zuweisen. Dies kann zu einer nicht genehmigten Berechtigungseskalation führen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Delegierte Entwickler können jedem Anwender über Skripts Rollen zuweisen, was ein erhebliches Sicherheitsrisiko durch die Eskalation nicht autorisierter Berechtigungen darstellt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Glide-Eigenschaft „Glide.basicauth.required.xsd“ steuert, ob eine Authentifizierung erforderlich ist, um eine XSD-Anforderung an eine Instanz zu stellen. Wenn „Glide.basicauth.required.xsd“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Authentifizierung für XSD-Anforderungen in der Instanz deaktiviert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft ermöglicht nicht authentifizierten Zugriff auf den XSD-Prozessor, der vertrauliche Informationen durchläuft.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn diese Eigenschaft auf „falsch“ festgelegt ist, wird eine ausführliche SQL-Fehlermeldung zurückgegeben, die möglicherweise zur Offenlegung vertraulicher Informationen führt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn ausführliche SQL-Fehlermeldungen zurückgegeben werden, können vertrauliche Informationen wie Datenbankstruktur, Tabellennamen oder Abfragedetails verfügbar gemacht werden. Diese Informationen können von Angreifern genutzt werden, um gezielte SQL-Injection-Angriffe zu entwickeln oder andere Schwachstellen auszunutzen, was das Risiko von Datenschutzverletzungen und Systemkompromittierung erhöht. Die Einschränkung der Fehlerdetails ist wichtig, um die Offenlegung von Informationen zu verhindern, die schädliche Aktivitäten unterstützen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Das Scratchpad ist eine einfache Möglichkeit, Informationen auf dem Server festzulegen, auf die im Browser zugegriffen werden kann. Ein Administrator kann alles skript, was darin enthalten sein soll, einschließlich beliebiger Daten aus beliebigen Datensätzen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.ui.escape_scratchpad" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist es möglich, schädliches Skript wie eine Schwachstelle für siteübergreifendes Skripting auszuführen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.pdf“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für den Exportprozessor im PDF-Format deaktiviert. Dies geschieht auch in Kombination mit einer falschen Rolle innerhalb der zugehörigen Eigenschaft „Guest_user“ (z. B. ein Anwender mit hohen Berechtigungen wie Administrator). Dies führt zu nicht authentifiziertem Zugriff auf Instanzdaten.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf PDF-Exportdaten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der Offenlegung nicht autorisierter Daten dar.

Fehlerkorrektur

• (Alt)

  Stellen Sie sicher, dass das Plugin „com.snc.snc_access_control“ aktiviert ist. Lesen Sie die Dokumentation zur Aktivierung unter https://www.servicenow.com/docs/csh? Topicname=t_ActivateSNCAccessControl.html&Version=latest.

• (Neu)

  Stellen Sie sicher, dass das Plugin „com.snc.snc_access_control“ aktiviert ist.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft soll mit dem Plugin „gleichzeitige Sitzungen begrenzen“ verwendet werden. Wenn dieses Plugin installiert und konfiguriert ist, kann die Anzahl der offenen Sitzungen pro Anwender begrenzt werden. Wenn diese Eigenschaft festgelegt ist, wird die Anzahl der Sitzungen über alle Knoten statt über einen einzelnen Anwendungsknoten nachverfolgt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn diese Eigenschaft nicht auf „wahr“ festgelegt ist, können mehrere Sitzungen über mehrere Knoten hinweg geöffnet werden, was die Wahrscheinlichkeit eines erfolgreichen Sitzungs-Hijacking erhöht.

• Plugin-Anwendbarkeit
  • (Alt) <blank>
  • (Neu)

    com.glide.limit.concurrent.sessions

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Erstellt mehrere wichtige ACLs, die die Zugriffssteuerungen für einige der Schlüsselsystemtabellen in der Now Platform validieren. Diese Regeln bieten einen Starthilfe für die Sicherung vieler Systemtabellen, sodass eine Organisation eine Instanz leichter in die Produktion bringen kann. Das Plugin „Sicherheits-Starthilfe“ (ACL-Regeln) wird automatisch auf allen neuen Instanzen installiert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Lücken in der Zugriffssteuerung können nicht autorisierten Anwendern ermöglichen, vertrauliche Daten anzuzeigen, zu ändern oder zu löschen, was die Datenintegrität, Vertraulichkeit und Compliance mit Sicherheitsrichtlinien der Organisation untergräbt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Der „glide.security.enable_archive_table_acls“ steuert, ob ACLs, die Archivtabellen hinzugefügt wurden, ausgewertet werden (wahr) oder ob nur die ACLs der ursprünglichen Tabelle (d. h. der Tabelle, aus der die Archivtabelle erstellt wurde) ausgewertet werden (falsch). Es gibt keinen Grund dafür, dass diese Eigenschaft nicht „wahr“ ist, da die ursprünglichen Tabellen-ACLs unabhängig von ihrem Wert ausgewertet werden und da ein Kunde einfach zusätzliche ACLs für eine Archivtabelle vermeiden kann, indem er sie nicht hinzufügt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn die Eigenschaft auf „falsch“ festgelegt ist, werden ACLs, die archivierten Tabellen hinzugefügt wurden, ignoriert. Eine Aktion, die kontraintuitiv ist und zu einer Autorisierungsumgehung führen kann.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.stax.allow_Entity_Resolution“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, ermöglicht diese Eigenschaft das erweitern von XML-Entitäten während der Analyse durch den Streaming-Parser (XMLDocument2).

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Erweiterung der XML-Entität kann zu Angriffen wie der Fähigkeit, Systemdateien zu lesen, und Denial of Service führen.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Boolean

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    falsch

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „com.snc.process_flow.reporting.require_flow_access“ auf den Wert „wahr“ festgelegt ist, wird eine zusätzliche Zugriffsprüfung für einen Anwender durchgeführt, der versucht, einen Flow-Kontext zu lesen. Ein Anwender muss Zugriff auf den übergeordneten Flow haben, um den Flow-Kontext lesen zu können.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn diese Eigenschaft nicht sicher festgelegt ist, kann es zu geringfügigen Offenlegung von Informationen kommen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Eigenschaft „glide.ui.attachment.force_download_all_mime_types“ auf „wahr“ festgelegt ist, wird die Eigenschaft „Glide.ui.attachment.Download_MIME_types“ überschrieben, sodass alle MIME-Typen heruntergeladen und nicht vom Browser gerendert werden. Beispielsweise erzwingt das Herunterladen von Text/HTML, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, um einen XSS-Angriff zu verhindern.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    XSS kann zu einer einfachen Berechtigungseskalation an höhere Rollen wie Administrator führen, wo mehr seitliche Bewegungen erfolgen können.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert den maximalen Umfang der Entitätserweiterung in einem XML-Parser. Wenn „Glide.xmlutil.max_Entity_Expansion“ nicht auf den empfohlenen Wert von 3000 oder weniger festgelegt ist, ist das skriptfähige GlideXMLUtil-Analysegerät möglicherweise angreifbar für Denial-of-Service-Angriffe.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine Denial-of-Service-Schwachstelle (DoS) stellt ein Sicherheitsrisiko dar, da Angreifer ein System überfordern oder abstürzen können, es für legitime Anwender nicht verfügbar machen und kritische Vorgänge möglicherweise unterbrechen.

• Kurzbeschreibung
  • (Alt)

    Globale App-Entwicklung nach Rolle beschränken

  • (Neu)

    Globale App-Entwicklung nach Rolle beschränken

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „sn_g_app_creator.allow_global“ steuert, welche Anwender mit dem geführten Anwendungsersteller Anwendungen im globalen Bereich erstellen können. Wenn „sn_g_app_creator.allow_global“ auf den empfohlenen Wert „falsch“ festgelegt ist, benötigen Anwender die Rolle „sn_g_app_creator.global“, um eine Anwendung im globalen Bereich mit dem geführten Anwendungsersteller zu erstellen. Wenn „sn_g_app_creator.allow_global“ auf den unsicheren Wert „wahr“ festgelegt ist, können alle Anwender mit nur der Basisrolle „sn_g_app_creator.app_creator“ eine Anwendung im globalen Bereich mithilfe des geführten Anwendungserstellers erstellen. Anwendungen im globalen Bereich enthalten keinen Umfangsschutz, mit dem Entwickler auf größere Funktionen und Funktionen zugreifen können, die über einen bestimmten Umfang hinausgehen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Beschränkung der globalen Anwendungsentwicklung auf Anwender mit der zusätzlichen Rolle folgt dem Prinzip der geringsten Berechtigung.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Eigenschaft glide.live_profile.details, um festzulegen, ob ein Anwender alle Detailfelder, z. B. Unternehmensname und Telefonnummern, in einem Live-Profil unter der Live-Feed-Funktion anzeigen kann. Wenn „glide.live_profile.details" auf den Wert „Ausblenden“ festgelegt ist, sind für den Anwender keine Live-Profilinformationen sichtbar. Wenn „Anzeigen“ festgelegt ist, sind alle Informationen sichtbar. Wenn glide.live_profile.details" auf den Wert „ACL“ festgelegt ist, sind Informationen basierend auf den Profil-ACLs des Anwenders sichtbar.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn vertrauliche Anwenderinformationen wie Unternehmenszugehörigkeit und Kontaktdetails nicht autorisierten Anwendern zugänglich gemacht werden, erhöht sich das Risiko von Datenverlusten und Verstößen gegen Datenschutzkontrollen, wenn ACLs nicht erzwungen werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft fügt dem Header „content Security-Policy“ „script-src none“ hinzu, wenn über die Dateierweiterung „.iix“ auf SVGs zugegriffen wird, was die Ausnutzung gespeicherter XSS durch gestaltete Dateianhänge verhindert, die in der Instanz gespeichert sind.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ohne diese Richtlinie könnte ein böswilliger Akteur einen Anwender dazu verleiten, beliebigen JavaScript-Code in seinem Webbrowser auszuführen, was zu Konsequenzen wie Datenexfiltration oder Sitzungsübernahme führt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Mit dieser Eigenschaft kann ein Kunde den Interpolationsschutz aktivieren oder deaktivieren. Der Interpolationsschutz stellt sicher, dass Jelly-Ausdrücke, die in JavaScript verwendet werden, als sicher eingestuft werden müssen, indem sie entweder unter bestimmte Kategorien fallen ODER im Ausdruck selbst als SICHER markiert werden. Ohne diese Minderung kann ein böswilliger Akteur einen gestalteten GET-Parameter an eine Jelly-Seite senden und bewirken, dass der Inhalt dieses Parameters als serverseitiges JavaScript mit Administratorrechten ausgewertet wird.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.ui.jelly.js_interpolation.protect" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, sind gefährliche Jelly-Ausdrücke zulässig, die in JavaScript interpoliert werden, und der Anwender kann Code mit der Jelly-Vorlage ausführen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft schaltet die ACL-Validierung für GlideAjax-API-Aufrufe um. Wenn „glide.script.secure.ajaxgliderecord" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die ACL-Validierung für GlideAjax-Anforderungen nicht abgeschlossen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann dazu führen, dass Anwender ohne ordnungsgemäße Autorisierung auf serverseitige Ressourcen zugreifen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „com.glide.communications.httpclient.ocsp_allow_network_error“ nicht explizit auf den empfohlenen Wert „falsch“ festgelegt ist und die OCSP-Prüfung (Online-Zertifikatstatusprotokoll) auf ein netzwerkbezogenes Problem stößt, z. B. eine Zeitüberschreitung oder ein Fehler beim Abrufen von Sperrdaten, behandelt das System die OCSP-Validierung standardmäßig als erfolgreich.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein Angreifer, der ein widerrufenes Zertifikat verwendet, kann dies ausnutzen, indem er einfach die OCSP-Antwort während eines Verbindungsversuchs auslässt. In solchen Fällen akzeptiert der Client das widerrufene Zertifikat fälschlicherweise als gültig, wodurch die Integrität der öffentlichen Schlüsselinfrastruktur (PKI) und des Vertrauensmodells untergraben wird, das die sichere Webkommunikation unterstützt. Die Verwendung widerrufener Zertifikate ist häufig ein Hinweis auf böswillige Aktivitäten, es sei denn, sie ist auf temporäre Synchronisierungsprobleme zwischen Zertifizierungsstellen und OCSP-Respondern zurückzuführen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.Excel“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für den Exportprozessor im EXCEL-Format deaktiviert. Dies geschieht auch in Kombination mit einer falschen Rolle innerhalb der zugehörigen Eigenschaft „Guest_user“ (z. B. ein Anwender mit hohen Berechtigungen wie Administrator).

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf Excel-Exportdaten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der Offenlegung nicht autorisierter Daten dar.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert, ob GlideRecordSecure oder GlideRecord für den Vorgang „mehrere einfügen“ in der Importsatz-API verwendet wird. Wenn diese Eigenschaft auf „falsch“ festgelegt ist, wird GlideRecordSecure zum Einfügen von Datensätzen verwendet, und ACLs auf Tabellenebene werden ausgewertet. Wenn diese Eigenschaft auf „wahr“ festgelegt ist, wird GlideRecord zum Einfügen von Datensätzen verwendet, und ACLs auf Tabellenebene werden nicht ausgewertet.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn diese Eigenschaft nicht auf den empfohlenen Wert „falsch“ festgelegt ist, kann ein Anwender mit niedriger Berechtigung möglicherweise Daten in Tabellen außerhalb des Umfangs seiner privilegierten Rollen einfügen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.ui.user_cookie.max_life_span_in_days“ nicht auf den empfohlenen Wert „30“ oder einen anderen geeigneten Wert festgelegt ist, kann eine Sitzung mit sehr langer Lebensdauer anfälliger für Hijacking-Angriffe auf Sitzungen sein.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine lange Sitzungslebensdauer erweitert das Fenster der Möglichkeiten für Angreifer, aktive Sitzungen zu übernehmen, und erhöht die Wahrscheinlichkeit eines nicht autorisierten Zugriffs, wenn Anmeldeinformationen oder Sitzungstoken gefährdet werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.security.explain.write.locks" nicht auf den empfohlenen Wert „falsch“ festgelegt ist, werden zusätzliche Debug-Informationen in gesperrten Formularelementen angezeigt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Anzeigen von Debug-Informationen in gesperrten Formularelementen kann zur Offenlegung von Informationen führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft definiert ein Standardverhalten für die API „retrieAddress“. Wenn in der Eigenschaft „Glide.sc.req_for.roles“ keine Rollen angegeben sind, kann die vom Client aufrufbare Skripteinbindung „ScriptServiceCatalogGetLocation“ von jedem nicht privilegierten angemeldeten Anwender aufgerufen werden und die Adresse anderer Anwender im System abrufen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.sc.req_for.roles.default" nicht auf den empfohlenen Wert „Deny“ (Allow) festgelegt ist und der Wert von „Glide.sc.req_for.role“ leer ist, kann jeder Anwender Elemente für andere Anwender anfordern, die nicht autorisierten Ressourcenzugriff gewähren.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.security.strict.actions" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, erfolgt vor der Ausführung keine Validierung in der Tabellen-UI. Wenn Sie diese Eigenschaft auf einen sicheren Wert festlegen, wird eine zusätzliche Ebene der Sicherheitsvalidierung hinzugefügt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Anwender können Vorgänge ausführen, für die sie möglicherweise nicht autorisiert sind – was möglicherweise zu nicht autorisierter Datenmanipulation, Berechtigungseskalation und Umgehung von Zugriffssteuerungen zum Schutz vertraulicher Datensätze führen kann.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „glide.translated_html.sanitize_all_fields“ auf den Wert „wahr“ festgelegt ist, werden alle translated_html-Elemente mit einer HTML-Bereinigung bereinigt. Wenn die Eigenschaft auf „falsch“ festgelegt ist, wird ein Element nur bereinigt, wenn das Wörterbuchattribut „html_sanitize“ auf „wahr“ festgelegt ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Bereinigung von HTML-Elementen ist eine Best Practice, um sicherzustellen, dass ein Angreifer schädliche Inhalte nicht einbetten kann, die zu Angriffen mit Cross Site Scripting (XSS) führen können.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „glide.sc.request.add_item_write_access“ nicht auf „wahr“ festgelegt ist, kann jeder angemeldete Anwender auf die UI-Seite „Katalogelement hinzufügen“ zugreifen. Dies kann zu nicht autorisierten Vorgängen für Katalogelemente führen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies führt zu einem Risiko nicht autorisierter Änderungen oder Ergänzungen von Katalogelementen, was möglicherweise zu Serviceunterbrechungen, betrügerischen Anforderungen oder Offenlegung vertraulicher Daten führen kann. Falsch konfigurierte Zugriffssteuerungen in der Katalogverwaltung können die Systemintegrität untergraben.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft wird in der Funktionalität der Anwenderkriterien für Wissensdatensätze verwendet. Wenn „glide.knowman.block_access_with_no_user_criteria“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden Knowledge Bases ohne Anwenderkriterien „kann lesen“ oder „kann beitragen“ von allen Anwendern lesbar und schreibfähig.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Knowledge Bases ohne explizite Anwenderkriterien „kann lesen“ oder „kann beitragen“ können für alle Anwender zugänglich und bearbeitet werden, was möglicherweise zu nicht autorisiertem Zugriff und Änderung vertraulicher Wissensinhalte führt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft erzwingt die Multifaktor-Authentifizierung basierend auf den Rollen, die dem Anwender zugewiesen sind. Wenn diese Eigenschaft auf „wahr“ festgelegt ist, erzwingt sie die rollenbasierte Multifaktor-Authentifizierung für alle Anwender, die in der Tabelle „Multi_factor_Criteria“ beschrieben sind. Diese Tabelle erzwingt die Multifaktor-Authentifizierung basierend auf den Rollen, die dem Anwender zugewiesen sind. Wenn einem Anwender in der Multifaktor-Rollenliste die Rollen „admin“, „Security_admin“ oder „user_admin“ zugewiesen wurden, wird MFA erzwungen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Durchsetzung von MFA basierend auf Rollen stärkt die Authentifizierungssicherheit und stimmt mit Best Practices zum Schutz privilegierter Accounts überein.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „com.glide.communications.httpclient.verify_hostname" nicht auf den sicheren Wert „wahr“ festgelegt ist, werden der Hostname und die Zertifikatkette, die von Remote-Hosts während einer von der ServiceNow-Instanz initiierten TLS-Verbindung angezeigt werden, nicht validiert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies könnte die Sicherheit der TLS-Verbindung gefährden und Personen-in-the-Middle-Angriffe ermöglichen, bei denen die Kommunikation zwischen zwei Parteien abgefangen wird. Dies kann zur Offenlegung vertraulicher Daten führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft wird verwendet, um die MIME-Typprüfung auf Uploads zu aktivieren.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.security.file.mime_type.validation" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, findet keine MIME-Typvalidierung für Dateianhänge statt, wodurch schädliche Dateitypen hochgeladen werden können.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.soapfault.Display_Stack_Trace“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, wird ein Stack Trace in einem SOAP-Fehlerdetailelement angezeigt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Anzeigen von Stapelverfolgungen für Anwender kann zur Offenlegung vertraulicher Informationen führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.soap.require_content_type_xml“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, gibt es keine Validierung für die SOAP-Anforderung.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dieser Mangel an Validierung kann CSRF-Angriffe (Cross Site Request Forgery) ermöglichen, sodass böswillige Akteure authentifizierte Anwender dazu bringen können, nicht autorisierte SOAP-Anforderungen zu senden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „glide.service_portal.enable_acls_for_encoded_query_in_list“ nicht auf „wahr“ festgelegt ist, kann ein Anwender die Auswertung von ACLs für eine Abfragebedingung im Widget „einfache Liste“ umgehen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Es ist Best Practice, ACLs in Abfragen auszuwerten, um sicherzustellen, dass ein Anwender Zugriff auf die abgefragten Felder hat, um einen nicht autorisierten Datenverlust zu verhindern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „Glide.sys.permissive.impersonate“ auf den Wert „falsch“ festgelegt ist, dürfen nur Anwender mit der Administratorrolle die Identität annehmen. Wenn dieser Wert auf „wahr“ festgelegt ist, können Anwender möglicherweise erstellen

    Verwendung von Anwendungskomponenten, die Identitätswechsel-APIs verfügbar machen, um die Identität eines Anwenders mit höheren Berechtigungen anzunehmen.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Glide-Eigenschaft „Glide.sys.permissive.Identitätswechsel“ auf den Wert „falsch“ festgelegt ist. Wenn diese Eigenschaft nicht vorhanden ist, ist der Standardwert „falsch“. Dieser Wert kann sicher überschrieben werden. Wenn die Eigenschaft auf „falsch“ festgelegt ist, kann sie in Zukunft nicht geändert werden.

  • (Neu)

    Stellen Sie sicher, dass die Glide-Eigenschaft „Glide.sys.permissive.Identitätswechsel“ auf den Wert „falsch“ festgelegt ist. Wenn diese Eigenschaft nicht vorhanden ist, ist der Standardwert „falsch“. Dieser Wert kann sicher überschrieben werden. Wenn die Eigenschaft auf „falsch“ festgelegt ist, kann sie in Zukunft nicht geändert werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Kann zu nicht autorisiertem Ressourcenzugriff führen, wenn diese Anwendungskomponenten falsch konfiguriert sind.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.WSDL“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für WSDL-Anforderungen deaktiviert. WSDL ist ein Protokoll, das zur Beschreibung von Webservices wie Instanztabellenschemata verwendet wird, und kein Mechanismus für die Freigabe der Daten innerhalb von Tabellen ist. Wenn Sie diese Eigenschaft auf „wahr“ festlegen, können Tabellenschemas für nicht authentifizierte Anwender offengelegt werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf WSDL-Anforderungen in Kombination mit einer falsch konfigurierten Gastanwenderrolle birgt das Risiko einer unbefugten Tabellenschemagefährdung.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „sn_hr_core.restrict_guest_email“ nicht auf „wahr“ festgelegt ist, kann ein Anwender eine E-Mail von einem privaten Account senden, die auf den HR-Fall verweist, der in die Arbeitsnotizen aufgenommen werden soll. Dies kann zu geringfügigen Vertraulichkeits- oder Integritätsproblemen führen, wenn die persönliche E-Mail gefährdet ist oder unsicher kommuniziert wird. Ein Administrator möchte die Fähigkeit von Anwendern einschränken, auf HR-Fälle über ihre persönliche E-Mail-Adresse zu reagieren, da er nicht sicher sein kann, dass der Anwender auf den persönlichen E-Mail-Account zugreift.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies birgt das Risiko geringfügiger Vertraulichkeits- und Integritätsprobleme, da persönliche E-Mail-Accounts möglicherweise unsicher oder gefährdet sind und Administratoren die Identität oder Sicherheitslage dieser Accounts nicht verifizieren können. Wenn Sie dieses Verhalten zulassen, wird die Kontrolle über vertrauliche HR-Kommunikation geschwächt und das Risiko von Datenverlusten erhöht.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Zeit in Sekunden, bis ein sicheres Token abläuft. Wenn die Anwendersitzung abläuft, läuft das sichere Token damit ab, es sei denn, die Eigenschaft „Wiederverwendung abgelaufener Token zulassen“ ist aktiviert und liegt innerhalb des durch diese Eigenschaft beschriebenen Zeitrahmens. Dieses Token wird verwendet, um Site-übergreifende Anforderungsfälschungsangriffe zu verhindern. (Standard ist 86400 Sekunden oder 1 Tag)

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Zeitgrenze für den Ablauf eines CSRF-Tokens definiert, wie lange das Token für die Verifizierung berechtigter Anwenderanforderungen gültig bleibt. Wenn sie zu lang festgelegt ist, erhöht sie das Risiko, dass ein Angreifer ein gestohlenes Token wiederverwenden kann, um nicht autorisierte Aktionen auszuführen, während ein kürzeres Ablauffenster dieses Risiko reduziert, indem das Angriffsfenster eingeschränkt wird.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Glide-Eigenschaft „Glide.basicauth.required.SOAP“ steuert, ob die Standardauthentifizierung erforderlich ist, um eine SOAP-Anforderung an eine Instanz zu stellen. Wenn „Glide.basicauth.required.SOAP“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden nicht authentifizierte Anwender, die SOAP-Vorgänge ausführen, dem SOAP.Guest-Anwender zugeordnet. Dadurch kann ein nicht authentifizierter Anwender Vorgänge für die Instanz ausführen, als ob er bei der Instanz angemeldet ist. Es kann zusätzliche Auswirkungen haben, wenn dem Anwender, der in „com.Glide.SOAP.Guest_user“ definiert, zusätzliche Rollen zugewiesen werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf SOAP-Exportdaten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der Offenlegung nicht autorisierter Daten dar.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Glide-Eigenschaft „Glide.knowman.Show_user_Feedback“ nicht auf „nie“ festgelegt ist, sind Feedback-Kommentare in Wissensartikeln für Anwender mit den in der Glide-Eigenschaft „Glide.knowman.Show_user_Feedback.roles“ definierten Rollen sichtbar. Aufgrund der potenziell vertraulichen Informationen in einem Feedback-Kommentar möchte ein Instanzadministrator möglicherweise nicht, dass das Feedback sichtbar ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn diese Eigenschaft nicht auf „nie“ festgelegt ist, kann es Auswirkungen auf die Vertraulichkeit geben, wenn vertrauliche Informationen im Feedback offengelegt werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.security.strict.user_image_upload" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden ACLs beim Hochladen von Bildern in das Feld „Foto“ nicht erzwungen. Wenn die Eigenschaft auf „wahr“ festgelegt ist, werden die Tabellen-ACLs beim Hochladen von Fotos erzwungen, sodass nur autorisierte Anwender ein Bild hochladen können.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein nicht autorisierter Anwender kann ein Bild in das Profil eines anderen Anwenders hochladen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft wirkt sich auf den Ablauf des Cookies aus. Nach jeder erfolgreichen Authentifizierung läuft das Cookie nach der als Eigenschaftswert angegebenen Anzahl von Tagen ab. Wenn „glide.ui.user_cookie.life_span_in_days“ nicht auf den empfohlenen Wert von 15 oder weniger festgelegt ist, besteht ein höheres Risiko, dass das Cookie bei Diebstahl länger verwendet werden kann.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine längere Lebensdauer erhöht das Zeitfenster, in dem ein gestohlenes Cookie verwendet wird.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.basicauth.required.api“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für die API-Anforderung deaktiviert. Dies führt zu nicht authentifiziertem Zugriff auf Instanzdaten.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf API-Daten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der unbefugten Offenlegung von Daten dar.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.ui.url.external.content“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, ruft der Connect-Chat Metadaten für externe Links ab, um reichere Inhalte in Nachrichten mit Links zu YouTube, Nachrichtenartikeln, Bildern usw. zu rendern

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann zu SSRF-Angriffen (serverseitige Anforderungsfälschung) führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn diese Eigenschaft auf „wahr“ festgelegt ist, müssen Rollen, die als „privilegiert“ markiert sind, immer von einem Administratoranwender bei der Erstellung einer neuen Sitzung manuell erhöht werden, damit dem Anwender die Fähigkeiten der Rolle gewährt werden. Bei „falsch“ werden Rollen, die als „privilegiert“ markiert sind, bei einer neuen Sitzung eines Administratoranwenders automatisch erhöht und müssen nicht manuell erhöht werden (mit Ausnahme von „Security_admin“). Wenn Sie diese Eigenschaft auf einen sicheren Wert festlegen, wird der Rollenerhöhung durch privilegierte Anwender eine zusätzliche Ebene der Sicherheitsvalidierung hinzugefügt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies gefährdet den potenziellen Missbrauch von Berechtigungen oder die versehentliche Ausführung von Highimpact-Aktionen. Wenn eine manuelle Erhöhung erforderlich ist, wird ein absichtlicher Sicherheitsprüfpunkt hinzugefügt, der dazu beiträgt, nicht autorisierten oder unbeabsichtigten Zugriff auf vertrauliche Fähigkeiten zu verhindern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert die Debug-Protokollierung für MultiSSO.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    MultiSSO-Debugging-Funktionen können zu unbeabsichtigtem Leck vertraulicher Informationen führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.ui.secure_cookies" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden keine zusätzliche Cookie-Sicherheit und strikte Cookie-Validierung durchgeführt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann es einem Angreifer ermöglichen, die Cookie-Validierung zu umgehen, was zu nicht autorisiertem Ressourcenzugriff führt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft enthält den Java-Klassennamen des aktuellen Java-Sicherheitsmanagers. ServiceNow hat den kontextbezogenen Sicherheitsmanager standardisiert. Wenn „glide.security.manager" nicht auf den empfohlenen Wert „com.glide.sys.security.ContextualSecurityManager" festgelegt ist, verwendet die Instanz möglicherweise einen veralteten Java-Sicherheitsmanager, für den die erwarteten Härtungsrichtlinien fehlen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ohne diese Härtung ist es möglicherweise möglich, dass ein böswilliger Akteur mit Skriptausführungszugriff Remotecodeausführung in der Instanz erreicht.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn dieses Plugin auf „wahr“ festgelegt ist, wird der Zugriff auf bestimmte IP-Bereiche eingeschränkt. Sofern der öffentliche Zugriff für die Instanz nicht vorgesehen ist, sollten Administratoren den Zugriff auf ihre zugewiesenen IP-Netzblöcke beschränken. Eine Ausschlussliste (Deny) oder eine Aufnahmeliste (Allow) von IP-Adressen kann über die IP-Adresszugriffssteuerung (ip_Access_list.do) erstellt werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn Sie uneingeschränkten öffentlichen Zugriff auf eine ServiceNow-Instanz zulassen, ohne das Plugin „IP-Adresszugriffssteuerung“ ordnungsgemäß zu konfigurieren, wird das System nicht autorisiertem Zugriff und potenzieller Ausnutzung über eine beliebige IP-Adresse ausgesetzt, wodurch die Sicherheit auf Netzwerkebene untergraben und die Angriffsfläche erhöht wird.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft führt eine Authentifizierung beim Abrufen von Daten aus Tabellen/Seiten in Form von Entladedaten in der Instanz durch. Wenn „Glide.basicauth.required.unl“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für den Exportprozessor des UNL-Formats deaktiviert. Dies kann auch mit einer falschen Rolle innerhalb der zugehörigen Eigenschaft „Guest_user“ kombiniert werden. Dies führt zu nicht authentifiziertem Zugriff auf Instanzdaten.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft kann nicht authentifizierten Zugriff auf das Entladen von Datenexporten ermöglichen, insbesondere in Kombination mit falsch konfigurierten Gastanwenderrollen. Dies führt zu einem schwerwiegenden Risiko einer nicht autorisierten Offenlegung von Instanzkonfigurationen und -Daten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft führt diese Authentifizierung beim Importieren von Datenquellen in die Instanztabellen/-Seiten durch. Er schränkt alle Gastanwender ein, die derzeit auf diese Daten zugreifen. Wenn „Glide.basicauth.required.importprocessor“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, können nicht authentifizierte Anwender auf den Importprozessor zugreifen. Zusätzliche Zugriffssteuerungen, z. B. ACLs, werden noch erzwungen, aber dieser Wert ermöglicht es, eine Importanforderung für Gastanwender zu verarbeiten und nicht zusammenfassend abzulehnen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft kann es nicht authentifizierten Anwendern ermöglichen, Importanforderungen über den Importprozessor zu initiieren, wodurch anfängliche Authentifizierungsprüfungen möglicherweise umgangen werden und das Risiko einer nicht autorisierten Datenmanipulation trotz erzwungener ACLs erhöht wird.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft bestimmt, ob die Standardauthentifizierung zum Aufrufen eines geskripteten Prozessors erforderlich ist. Alle Datensätze, auf die der geskriptete Prozessor zugreift, verwenden weiterhin andere Zugriffssteuerungen, z. B. ACLs, bevor Daten zurückgegeben werden. Wenn „Glide.basicauth.required.scriptedprocessor“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, kann ein Angreifer auf vertrauliche Informationen zugreifen, z. B. einen nicht authentifizierten (Gast-)Anwender, der versucht, über den sys_processor von E-Mail-Anzeigen auf eine E-Mail zuzugreifen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft kann es nicht authentifizierten Anwendern ermöglichen, geskriptete Prozessoren aufzurufen und möglicherweise vertrauliche Informationen trotz vorhandener ACLs verfügbar zu machen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Das Plugin „kontextbezogene Sicherheit: Rollenverwaltung“ hilft bei der Verwaltung von Anwendergruppen und Rollen, um Informationen durch rollenbasierte Zugriffssteuerungen zu schützen. Das Plugin konsolidiert doppelte Einträge für geerbte Rollen effizient und sichert einen Datensatz/Informationen mithilfe der Funktionen zum Erstellen, Lesen, Schreiben und Löschen. Nach der Installation und Aktivierung werden die Wörterbuchrollen (erstellt von einem einfachen Sicherheitsmanager) nicht mehr getestet. Stattdessen sucht die Now Platform nach ACL-Regeln für Felder und Tabellen. Sie sichert die Daten mit Hilfe von ACL-Regeln anstelle herkömmlicher, rollenbasierter Wörterbuchregeln, die von einem einfachen Sicherheitsmanager implementiert werden. Auch wenn Sie das Wörterbuchformular konfigurieren und einem Wörterbucheintrag Rollen hinzufügen, werden die Rechte nicht geändert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn Sie nicht vollständig zu ACL-basierten Steuerungen wechseln, können vertrauliche Daten aufgrund übersehener oder veralteter Wörterbuchrollenkonfigurationen verfügbar gemacht werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn ein Anwender für „Passwort muss zurückgesetzt werden“ markiert ist, muss er beim nächsten Authentifizierungsversuch ein neues Passwort angeben. Diese Eigenschaft steuert, ob die Passwortzurücksetzung vor API-Aufrufen obligatorisch ist. Wenn „glide.authenticate.api.user.reset_password.mandatory" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, können Anwender-Accounts, die als „Passwort muss zurückgesetzt werden“ markiert sind, weiterhin die häufigsten Vorgänge ausführen, indem die Tabellen-API über die Standardauthentifizierung abgefragt wird.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann die Offenlegung von Informationen ermöglichen, wenn veraltete Accounts gefährdet werden.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.security.sandbox_no_logging" auf „falsch“ festgelegt ist, ist die Protokollierung für Anwender mit geringen Berechtigungen mit Sandboxed-Skripts verfügbar. Diese Eigenschaft steuert die Fähigkeit des Glide-Systems, Skripts zu protokollieren, die in der Sandbox-Umgebung ausgeführt werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein Anwender mit geringen Berechtigungen kann Protokolle einfügen, die es dem böswilligen Anwender ermöglichen, einen Angriff potenziell zu verschleiern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft stellt sicher, dass vom Client aufrufbare Skripteinbindungen, auch als Ajax-Skripteinbindungen bezeichnet, nicht automatisch für nicht authentifizierte Anwender verfügbar gemacht werden. Wenn „Glide.script.ccsi.ispublic“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, können Skripteinbindungen als öffentliche Skripts ausgeführt werden, und nicht authentifizierte Anwender können auf Instanzdaten zugreifen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Sensible Geschäftslogik oder -Daten sind potenziell gefährdet, was das Risiko eines nicht autorisierten Zugriffs auf Instanzressourcen erhöht.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Eigenschaft „Glide.Export.query.enforce_field_acl“ auf „wahr“ festgelegt ist, werden Feld-ACLs für die eingehende Abfrage überprüft und lehnen die Abfrage ab, wenn der Anwender nicht autorisiert ist. Wenn die Eigenschaft „falsch“ ist, werden ACLs NICHT für eingehende Abfrage überprüft und werden weiterhin ausgeführt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies kann zur Offenlegung von Informationen an nicht autorisierte Parteien führen.

Funktionale Auswirkung

• (Alt)

  Erzwingt die maximale Lebensdauer für aktive authentifizierte HTTP-Sitzungen unabhängig von der inaktiven Zeitüberschreitung. Der konfigurierte Wert wird in Minuten angegeben. Ein Wert von Null deaktiviert die Zeitüberschreitung der aktiven Sitzungen. Die maximale Lebensdauer muss mehr als die Inaktive Zeitüberschreitung glide.ui.session_timeout betragen (Standard: 30 Minuten).

• (Neu)

  Erzwingt die maximale Lebensdauer für aktive authentifizierte HTTP-Sitzungen unabhängig von der inaktiven Zeitüberschreitung. Der konfigurierte Wert wird in Minuten angegeben. Ein Wert von Null deaktiviert die Zeitüberschreitung der aktiven Sitzungen. Die maximale Lebensdauer muss mehr als die Inaktive Zeitüberschreitung glide.ui.session_timeout betragen (Standard: 30 Minuten).

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.email.email_with_no_target_visible_to_all“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, haben Anwender auf niedriger Ebene Zugriff auf E-Mails, die nicht ihre eigenen sind.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    E-Mails, denen kein bestimmter Zieldatensatz fehlt, können für alle Anwender sichtbar werden, was zu nicht autorisiertem Zugriff auf potenziell sensible Kommunikation und Verstößen gegen die Prinzipien der geringsten Berechtigungen und der Datenvertraulichkeit führt.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert die Accountwiederherstellungsfunktion, die die Möglichkeit zur Umgehung der Single Sign-on an speziell festgelegte Administratoren bindet. Wenn „Glide.sso.acr.enabled“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, bleiben die lokalen interaktiven Anmeldungen (basierend auf Anwendername oder Passwort) aktiviert, wenn die Einzelanmeldung in der Instanz aktiviert ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Durch die Eliminierung lokaler interaktiver Anmeldungen wird das Risiko eines nicht autorisierten Zugriffs auf die Instanz reduziert.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft steuert die Standardautorisierung für eingehende RSS-Anforderungen. Wenn „Glide.basicauth.required.rss“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für den Exportprozessor des RSS-Formats deaktiviert. Dies kann auch mit einer falschen Rolle innerhalb der zugehörigen Eigenschaft „Guest_user“ kombiniert werden. Dies führt zu nicht authentifiziertem Zugriff auf Instanzdaten.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf RSS-Exportdaten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der Offenlegung nicht autorisierter Daten dar.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „Glide.basicauth.required.csv“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für den Exportprozessor im CSV-Format deaktiviert. Dies geschieht auch in Kombination mit einer falschen Rolle innerhalb der zugehörigen Eigenschaft „Guest_user“ (z. B. Rolle mit hohen Berechtigungen). Dies führt zu nicht authentifiziertem Zugriff auf Instanzdaten.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Nicht authentifizierter Zugriff auf CSV-Exportdaten stellt in Kombination mit einer falsch konfigurierten Gastanwenderrolle ein erhebliches Risiko der Offenlegung nicht autorisierter Daten dar.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „password_reset.request.max_attempt_window“ definiert die Anzahl der Minuten, die ein Anwender warten muss, um sein Passwort zurückzusetzen oder zu ändern, nachdem die maximale Anzahl nicht erfolgreicher Versuche überschritten wurde, die mit der Eigenschaft „password_Reset.Request.max_attempt“ festgelegt ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein zu niedriger Wert erhöht das Risiko einer erfolgreichen Brute-Erzwingung eines Passworts, da eine größere Anzahl von Versuchen zur Passwortzurücksetzung unternommen werden kann.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „password_reset.sms.default_complexity" nicht auf den empfohlenen Wert von „6“ oder höher festgelegt ist, wird ein schwaches SMS-Validierungstoken verwendet.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies erhöht die Wahrscheinlichkeit von Token-Ratings, was zur Kontoübernahme führen könnte.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „password_reset.sms.max_per_day“ gibt die maximale Anzahl von SMS-Codes an, die pro Tag für einen Anwender zur Verifizierung gesendet werden.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn der Wert zu hoch ist, ist es für Angreifer einfacher, den SMS-Code Brute-Force zu erzwingen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Das CAPTCHA für die Gast-Walk-up-Experience verhindert, dass nicht authentifizierte Gastanwender Buchungen erstellen, indem Anwender eine CAPTCHA-Verifizierung durchführen müssen. Wenn CAPTCHA nicht aktiviert ist, kann dies zur automatisierten Erstellung von Spam führen

    Termine, um das System zu überfordern oder alle verfügbaren Buchungsplätze zu füllen, um einen Denial-of-Service-Angriff zu erstellen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Dies setzt das System Spam-Termine und Ressourcenausschöpfungsangriffe aus, die potenziell alle verfügbaren Buchungsfenster ausfüllen und eine Denial of Service (DoS) verursachen. Ohne CAPTCHA fehlt der Plattform eine kritische Kontrolle, um automatisierten Missbrauch zu verhindern und die Serviceverfügbarkeit aufrechtzuerhalten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „password_reset.request.success_window“ nicht auf den empfohlenen Wert von maximal „1440“ festgelegt ist, erhöht dies die Wahrscheinlichkeit, dass jemand anderes die Funktion zum Zurücksetzen des Passworts missbraucht, um sich nicht autorisierten Zugriff auf einen Anwender-Account zu verschaffen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Einschränkung des Erfolgsfensters reduziert die Möglichkeit zu Missbrauch und stärkt die Sicherheit der Accountwiederherstellung.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Das Audit-Protokoll des MID-Serverbefehls verfolgt Details wie Befehlsname, Befehlshash, Name der verwendeten Anmeldeinformationen und Ausführungsstatus. Wenn diese Option aktiviert ist, können Anwender mit der Rolle „Agent_Security_admin“ diese Protokolle in der Tabelle „Auditprotokolle für MID-Serverbefehle [ecc_agent_command_audit_log]“ anzeigen. Navigieren Sie zu alle > MID-Server > Auditprotokolle > Befehls-Auditprotokolle, um diese Tabelle anzuzeigen.

• Fehlerkorrektur
  • (Alt)

    Legen Sie mid.log.command_audit.enable in der Tabelle „ecc_Agent_property“ auf „wahr“ fest, um das Auditing für Befehle zu aktivieren, die vom MID-Server ausgeführt werden. Informationen zum Bearbeiten dieser MID-Servereigenschaft finden Sie in der folgenden Dokumentation: https://docs.servicenow.com/csh?topicname=mid-audit-log.html&version=latest

  • (Neu)

    Legen Sie die Eigenschaft mid.log.command_audit.enable in der Tabelle „MID-Servereigenschaften“ [ecc_Agent_property] für jeden MID-Server auf „wahr“ fest, um das Auditing für Befehle zu aktivieren, die vom MID-Server ausgeführt werden. Weitere Informationen zum Festlegen dieser Eigenschaft finden Sie unter https://docs.servicenow.com/csh?topicname=midaudit-log.html&version=latest

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Im Falle einer Sicherheitsuntersuchung kann diese Tabelle von Incident-Response-Teams verwendet werden, um die auf dem MID-Server ausgeführten Befehle zu auditieren. Ohne dieses Protokoll sind möglicherweise nicht genügend Details vorhanden, um auf Situationen wie die nicht autorisierte Accountnutzung zu reagieren.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Keine

• CVSS-Punktzahl
  • (Alt)

    2,2

  • (Neu)

    4,4

• Abhängigkeiten und Voraussetzungen
  • (Alt) <blank>
  • (Neu)

    Diese Einstellung gilt nur für Instanzen, die einen aktiven MID-Server (Verwaltung, Instrumentierung und Discovery) verwenden. Ein MID-Server ermöglicht die Kommunikation und das Verschieben von Daten zwischen einer ServiceNow-Instanz und externen Anwendungen, Datenquellen und Services. Das Einrichten eines MID-Servers erfordert das Herunterladen des MID-Serverpakets auf einem Linux- oder Windows-Host, das Einrichten der Verbindung mit der angegebenen ServiceNow-Instanz und das Konfigurieren zusätzlicher Einstellungen. Informationen und Referenzen finden Sie unter https://www.servicenow.com/docs/csh?topicname=mid-serverlanding.html&version=latest. Nachdem er eingerichtet wurde, wird ein MID-Server als Datensatz in der Tabelle „MID-Server“ [ecc_Agent] in der Verbindungsinstanz angezeigt.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Boolean

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    falsch

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.security.url.whitelist.strict_check" nicht auf den empfohlenen Wert „wahr“ festgelegt ist, können alle externen URLs umgeleitet werden, wenn „glide.security.url.whitelist" leer ist. Wenn „glide.security.url.whitelist" nicht leer ist, sind nur externe URLs in der Whitelist zulässig. Dadurch wird entweder „glide.security.url.whitelist.strict_check" auf „wahr“ festgelegt ODER sichergestellt, dass „glide.security.url.whitelist" auf einen nicht leeren Wert mit den zulässigen externen URLs festgelegt wird, sodass die Instanz in einem sicheren Status bleibt.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn alle externen URLs umgeleitet werden dürfen, kann ein Angreifer einen Anwender auf eine schädliche Website umleiten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.secure_cookie.debug" nicht auf den Standardwert „falsch“ festgelegt ist, werden Debug-Nachrichten in der Klasse „SecureUserCookie“ und „Cookie“ im localhost-Protokoll protokolliert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Protokollierung von Debug-Nachrichten aus der Klasse „SecureUserCookie“ und „Cookie“ kann zur Offenlegung vertraulicher Informationen führen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft „com.Glide.attachment.max_size“ steuert die maximale Größe des hochgeladenen Anhangs. Hinweis: Eine echte Anhangsgröße wird durch Multiplikation des Werts „10241024der Eigenschaft „com.Glide.attachment.max_size“ berechnet. Wenn der Wert der Eigenschaft „com.Glide.attachment.max_size“ 1024 ist, beträgt die maximal zulässige Anhangsgröße 1 GB.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Die Plattform kann große Dateien akzeptieren, die den Speicher füllen oder zu einem Denial of Service führen könnten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Das Plugin „E-Mail-Filter“ (com.Glide.email_Filter) installiert die E-Mail-Filterung in der Instanz. Diese Filterung identifiziert vorhandene Header, sodass der Administrator basierend auf dem zugehörigen Header entscheiden kann, was mit der E-Mail geschehen soll. Dieses Plugin fügt jeder Nachricht einen Header hinzu. Der Header kann zum Filtern innerhalb der Instanz verwendet werden. Diese Funktion ist sehr hilfreich, um Spam herauszufiltern. Hinweis: Stellen Sie sicher, dass die erforderlichen Eigenschaften „Glide.email.read.Active“ auf „wahr“ festgelegt sind, da diese Steuerung nur gilt, wenn eingehende E-Mails aktiviert sind.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Aktivieren und Konfigurieren der E-Mail-Filterung ist wichtig, um das Risiko von Spam zu reduzieren und die Systemintegrität aufrechtzuerhalten.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Eigenschaft „com.glide.snap.infected_download_allowed" auf „wahr“ festgelegt ist, können Anwender auch dann nicht gescannte Anhänge herunterladen, wenn der Virenschutzservice ausgefallen oder nicht erreichbar ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein Anwender kann eine schädliche Datei auf seinen Desktop herunterladen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „glide.sg.allow_rooted_jailbroken_device“ nicht auf den empfohlenen Wert „falsch“ festgelegt ist, ermöglicht die mobile App Anwendern die Verwendung der App über Jailbreak- oder Rootgeräte. Mobilgeräte mit Jailbreak oder Roots führen nicht vertrauenswürdigen Code auf Systemebene aus, der das Sicherheitsmodell der Plattform umgehen kann, auf das unsere mobilen Apps basieren. Wenn Sie „allow_rooted_jailbroken_device“ auf „falsch“ festlegen, wird eine begrenzte clientseitige Prüfung aktiviert, um dem Anwender eine Fehlermeldung anzuzeigen, wenn versucht wird, die App von einem dieser Geräte aus zu verwenden. Diese Konfiguration ist der MASVS v1.4.2-Anforderung 8,1 auf R-Ebene zugeordnet.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Das Zulassen von Mobilgeräten mit Rootfunktion oder Jailbreak erhöht das Risiko von Anmeldeinformationsdiebstahl, Datenverlusten und Ausführung böswilliger Codes erheblich.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn ein OAuth-Zugriffstoken ausgegeben wird, enthält die Antwort ein Cookie. Anwender können dieses Cookie verwenden, um eine Sitzung auch nach Ablauf des OAuth-Tokens, das zum Erstellen dieser Sitzung verwendet wurde, weiterhin zu verwenden. Verwenden Sie die Systemeigenschaft glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled, um dies zu verhindern.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Glide-Eigenschaft glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled auf einen festgelegt ist

    Wert von „wahr“. Wenn der Datensatz in der Tabelle „sys_properties“ nicht vorhanden ist, ist der Standardwert „falsch“. Für neu bereitgestellte Instanzen wird ein Datensatz erstellt.

  • (Neu)

    Stellen Sie sicher, dass die Systemeigenschaft glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled in der Tabelle „Systemeigenschaften“ [sys_properties] vorhanden und auf den Wert „wahr“ festgelegt ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn ein OAuth-Token ausgelaufen oder gefährdet ist, kann ein Angreifer die Sitzung über das erstellte Cookie verwenden und erweitern. Böswillige Anwender können Sitzungen verwenden, um auf nicht autorisierte Ressourcen zuzugreifen und nicht autorisierte Aktionen zu ergreifen. Legen Sie diese Eigenschaft auf den sicheren Wert fest, um diesen ausgeblendeten Sitzungserweiterungsmechanismus zu eliminieren und das Wiedergaberisiko zu reduzieren, indem der Tokenablauf erzwungen wird.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Auswirkung, wenn auf „wahr“ festgelegt: Sitzungen enden sofort, wenn das Zugriffstoken abläuft. Cookies aktualisieren die Sitzungsgültigkeit nicht mehr. Clients müssen Aktualisierungstoken verwenden oder sich erneut authentifizieren, um ein neues Zugriffstoken zu erhalten. Potenzieller Bruch: Legacy-Clients oder anwenderdefinierte Integrationen, die auf einer Cookie-basierten Sitzungserweiterung basieren, schlagen nach Ablauf des Tokens fehl. Aufträge mit langer Ausführungszeit ohne Tokenverlängerungslogik können 401 Fehler aufweisen. Was weiterhin funktioniert: Standard-OAuth-Flows mit Aktualisierungstoken. Ordnungsgemäß entworfene Integrationen, die Token proaktiv verlängern

• CVSS-Punktzahl
  • (Alt)

    5,4

  • (Neu)

    6.8

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Boolean

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    wahr

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Systemeigenschaften „Glide.xml.Entity.Whitelist.enabled“ und „Glide.xml.Entity.Whitelist“, um zu verhindern, dass Ihre Instanz externe XML-Entitäten aus nicht vertrauenswürdigen Quellen verarbeitet. Angriffe auf externe XML-Entitäten (XXE) treten auf, wenn ein böswilliger Akteur eingehende XML ändert, um auf Daten zuzugreifen oder mit ansonsten eingeschränkten Systemen zu interagieren. Ein Angreifer kann die Dokumenttypdefinition (DTD) verwenden, um beliebige HTTP-Anforderungen einzubeziehen, die der Server möglicherweise ausführen kann. Dies kann zu zusätzlichen Angriffen führen, die die Vertrauensbeziehung des Servers mit anderen Entitäten verwenden. Um diese Angriffe zu verhindern, schränkt die Systemeigenschaft „Glide.xml.Entity.Whitelist.enabled“ die Quellen ein

    Von dem aus Ihre Instanz XML ausführt. Verwenden Sie die Eigenschaft „Glide.xml.Entity.Whitelist“, um eine Reihe vertrauenswürdiger Quellen zu definieren. Der Wert für „Glide.xml.Entity.Whitelist“, der auf „http://java.sun.com/j2ee/dtds/" festgelegt ist, ist ein Verweis auf die DTDs (Dokumenttypdefinitionen), die von Java EE (früher J2EE) bereitgestellt werden. Diese URL fungiert als zentraler Punkt, an dem sich Standard-DTDs für XML-Dokumente befinden, die die Struktur und rechtliche Elemente und Attribute von XML-Dokumenten definieren. HINWEIS: Andere Werte als http://java.sun.com/j2ee/dtds/ können in die Eigenschaft „Glide.xml.Entity.Whitelist“ aufgenommen werden, sind jedoch für den sofort einsatzbereiten Plattformstatus nicht erforderlich. Überprüfen Sie alle zusätzlichen Werte, um festzustellen, ob sie sicher sind.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Glide-Eigenschaft „Glide.xml.Entität.Whitelist“ vorhanden und auf „http://java.sun.com/j2ee/dtds/" festgelegt ist, und dass die Glide-Eigenschaft „Glide.xml.Entität.Whitelist.enabled“ vorhanden und auf den Wert „wahr“ festgelegt ist. Wenn die Eigenschaften nicht in der Tabelle „sys_properties“ angezeigt werden, fügen Sie neue Datensätze hinzu.

  • (Neu)

    Stellen Sie sicher, dass die Systemeigenschaft „Glide.xml.Entity.Whitelist“ in der Tabelle „Systemeigenschaften“ [sys_properties] vorhanden und auf http://java.sun.com/j2ee/dtds/ festgelegt ist. Stellen Sie sicher, dass die Systemeigenschaft „Glide.xml.Entity.Whitelist.enabled“ in der Tabelle „Systemeigenschaften“ [sys_properties] vorhanden und auf den Wert „wahr“ festgelegt ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein Angriff auf die Ewige XML-Entität (XEE) kann Angreifern ermöglichen, Daten zu extrahieren oder nicht autorisierte Aktionen über gestaltete XML-Nutzlasten auszuführen.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Externe XML-Entitäten aus Quellen außerhalb der Whitelist werden nicht verarbeitet.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Kommagetrennte Liste, boolescher Wert

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn „sn_kb_social_qa.max_subscriptions_per_user_daily“ nicht auf den empfohlenen Wert von „500“ oder weniger festgelegt ist, gibt es keine Einschränkung für die maximale Anzahl von Social Q&A-Fragen, die ein Anwender an einem Tag abonnieren kann.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Zu viele Abonnements können zu Ressourcenausschöpfung führen.

• Kurzbeschreibung
  • (Alt)

    Gleichzeitige Interaktive Sitzungen Begrenzen, Wenn Das Plugin „Gleichzeitige Sitzungen Begrenzen“ Installiert Ist

  • (Neu)

    Gleichzeitige interaktive Sitzungen mit dem Plugin „Gleichzeitige Sitzungen begrenzen“ begrenzen

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Diese Eigenschaft soll mit dem Plugin „gleichzeitige Sitzungen begrenzen“ (com.glide.limit.concurrent.sessions) verwendet werden. Wenn das Plugin aktiv ist und die Eigenschaft auf „falsch“ festgelegt ist, kann ein Anwender eine beliebige Anzahl gleichzeitiger interaktiver Sitzungen in einer Instanz haben.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Eine größere Anzahl offener Sitzungen bedeutet, dass Sitzungs-Hijacking sehr wahrscheinlich ist.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „password_Reset.Request.Unlock_window“ steuert die Anzahl der Minuten, die ein Anwender warten muss, um eine Zurücksetzungsanforderung nach dem letzten erfolgreichen Entsperren des Accounts zu starten.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn der Wert zu niedrig ist, erhöht er die Möglichkeit für einen böswilligen Akteur, das Passwort des Anwenders mithilfe automatisierter Tools zu erzwingen.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Die Eigenschaft „glide.authenticate.session_access.mobile.refresh_token_interval“ steuert die Dauer, nach der ein Mobilgeräteanwender zur erneuten Authentifizierung gezwungen wird. Dies gilt nur, wenn der Administrator die Attribute des Identitätsanbieters (die für jede Anmeldung variieren können) in konfiguriert hat

    Die Sitzungszugriffsrichtlinie und der Anwender authentifizieren sich über Single Sign-on. Der Eigenschaftswert ist eine Ganzzahl in Sekunden. Der empfohlene Wert ist 1800 (30 Minuten).

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein großer Wert kann einen größeren Zeitrahmen für den Zugriff auf die Sitzung durch einen Angreifer gewähren.

Datentyp

• (Alt)

  Boolean

• (Neu)

  Zeichenfolge

• Beschreibung
  • (Alt)

    Verwenden Sie Systemeigenschaften, um zu verhindern, dass ein Anwender, der seine Identität ausnimmt, Anwendungsdaten anzeigt. Verhindern Sie, dass auf Administratorebene auf die anwendungsspezifischen Daten zugegriffen wird, die zu diesem Anwender gehören, wenn die Identität eines Accounts angenommen wird. Diese Berechtigung kann auf Anwendungsebene festgelegt werden, indem eine für die Anwendung spezifische Systemeigenschaft erstellt wird. Diese Systemeigenschaften verwenden das Namensformat .impersonateCheck (z. B. sn_HR_Core.impersonateCheck). Erstellen Sie eine Systemeigenschaft mit einem Wert von Wahr Um zu verhindern, dass Anwender beim Identitätswechsel eines Accounts auf die anwendungsspezifischen Daten eines anderen Anwenders zugreifen. HINWEIS: Nicht alle Anwendungen sind für die Verwendung in dieser Konfiguration konzipiert oder verfügen zu diesem Zweck über einen Systemeigenschaften-Datensatz [sys_properties]. Die folgenden Umfänge sind für die Verwendung mit dieser Eigenschaft konfiguriert. sn_OPP_Markt sn_jny sn_imt_vaccine sn_imt_health_test sn_HR_Core sn_egd_Goals sn_egd_Core sn_egd_Core sn_egd_Act sn_em sn_Talent_aia

  • (Neu)

    Verwenden Sie Systemeigenschaften, um zu verhindern, dass ein Anwender, der seine Identität ausnimmt, Anwendungsdaten anzeigt. Verhindern Sie, dass auf Administratorebene auf die anwendungsspezifischen Daten zugegriffen wird, die zu diesem Anwender gehören, wenn die Identität eines Accounts angenommen wird. Diese Berechtigung kann auf Anwendungsebene festgelegt werden, indem eine für die Anwendung spezifische Systemeigenschaft erstellt wird. Diese Systemeigenschaften verwenden das Namensformat .impersonateCheck (z. B. sn_HR_Core.impersonateCheck). Erstellen Sie eine Systemeigenschaft mit einem Wert von Wahr Um zu verhindern, dass Anwender beim Identitätswechsel eines Accounts auf die anwendungsspezifischen Daten eines anderen Anwenders zugreifen. HINWEIS: Nicht alle Anwendungen sind für die Verwendung in dieser Konfiguration konzipiert oder verfügen zu diesem Zweck über einen Systemeigenschaften-Datensatz [sys_properties]. Die folgenden Umfänge sind für die Verwendung mit dieser Eigenschaft konfiguriert. sn_OPP_Markt sn_jny sn_imt_vaccine sn_imt_health_test sn_HR_Core sn_egd_Goals sn_egd_Core sn_egd_Core sn_egd_Act

    sn_em sn_Talent_aia sn_ecn

• Fehlerkorrektur
  • (Alt)

    Stellen Sie für jede Anwendung mit der Eigenschaft .impersonateCheck in der Tabelle „Systemeigenschaften“ [sys_properties] sicher, dass der Eigenschaftswert auf „wahr“ festgelegt ist. Diese Eigenschaften können nur vom bereichsbezogenen Administrator für die spezifische Anwendung geändert werden. Verwenden Sie dieses Skript, um zu ermitteln, welche Eigenschaften für die Instanz aktualisiert oder erstellt werden müssen:

    VAR-Eigenschaften = [ „sn_Opp_Market.impersonateCheck“, „sn_jny.impersonateCheck“, „sn_imt_vaccine.impersonateCheck“, „sn_imt_health_test.impersonateCheck“, „sn_HR_Core.impersonateCheck“, „sn_egd_Goals.impersonateCheck“, „sn_egd_Core.impersonateCheck“,]

    ['sn_egd_Act.impersonateCheck', 'sn_em.impersonateCheck', 'sn_Talent_aia.impersonateCheck' ]; VAR pm = New GlidePluginManager(); für (VAR i = 0; i < properties.length; i++) { var property = properties[i]; VAR Application = property.Split('.')[0]; var propertyValue = gs.getproperty(property, {(Property, 'true); if 't'.'.'.'.'.}(Property, 't'.'.'.(Property, 't

  • (Neu)

    Stellen Sie für jede Anwendung mit der Eigenschaft .impersonateCheck in der Tabelle „Systemeigenschaften“ [sys_properties] sicher, dass der Eigenschaftswert auf „wahr“ festgelegt ist. Diese Eigenschaften können nur vom bereichsbezogenen Administrator für die spezifische Anwendung geändert werden. Verwenden Sie dieses Skript, um zu ermitteln, welche Eigenschaften für die Instanz aktualisiert oder erstellt werden müssen:

    VAR-Eigenschaften = [ „sn_Opp_Market.impersonateCheck“, „sn_jny.impersonateCheck“, „sn_imt_vaccine.impersonateCheck“, „sn_imt_health_test.impersonateCheck“, „sn_HR_Core.impersonateCheck“, „sn_egd_Goals.impersonateCheck“, „sn_egd_Core.impersonateCheck“, „sn_egd_Act.impersonateCheck“, „sn_em.impersonateCheck“, „sn_Talent_aia.impersonateCheck“, „sn_ecn.impersonateCheck“ ]; VAR pm = neuer GlidePluginManager(); für (VAR i = 0; i < properties.length; i++) { var property = properties[i]; var Application = property.Split('.')[0]; var propertyValue = gs.getProperty(property, 'false'); if (pm.isActive(Application) &&& propertyValue.towerCase(); }(property)= 'true'

• Funktionale Auswirkung
  • (Alt)

    Anwender auf Administratorebene können nicht die Identität eines anderen Anwenders annehmen und dessen Daten nicht in einem bestimmten Anwendungskontext anzeigen.

  • (Neu)

    Anwender auf Administratorebene können die Identität eines anderen Anwenders nicht annehmen und die Daten dieses Anwenders in einem bestimmten Anwendungskontext anzeigen.

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt)

    Sichern Sie die Images in Ihrer Instanz, um das Leck vertraulicher Informationen zu verhindern. Auf Bilder in Ihrer Instanz kann über urls zugegriffen werden, die auf .iix enden. Legen Sie die Systemeigenschaft glide.image_provider.security_enabled auf „wahr“ fest, um den Zugriff auf Ihre Bilder über diese URLs zu verhindern. [Hinweis] diese Eigenschaft wird für Bilder aus der Anhangstabelle nicht berücksichtigt, wenn die Ursprungstabelle eine der folgenden Elemente ist: Schreibwaren [sysevent_email_style] Abschnitte der Willkommensseite [sys_Home] Systemeigenschaften [sys_properties]

  • (Neu)

    Verwenden Sie die Eigenschaft glide.image_provider.security_enabled, um den nicht authentifizierten Zugriff auf Bildanhänge zu beschränken. Bei „wahr“ sind Bilder für jeden authentifizierten Anwender sichtbar, aber für keinen nicht authentifizierten Anwender. Bei „falsch“ sind Bilder für jeden sichtbar, der eine URL zum Anhang hat. Miniaturansichten eines angehängten Bilds haben dieselbe Richtlinie wie das ursprüngliche angehängte Bild und sind für denselben Satz von Anwendern zugänglich wie das ursprüngliche angehängte Bild. Wenn diese Eigenschaft aktiviert ist, wird eine feingranulare Zugriffssteuerung für nicht authentifizierte Anwender durch Einträge in der Tabelle „Sicherheitsberechtigungs-/Deny-Listenentitäten“ [sys_security_restricted_list] und durch die Deklaration öffentlicher KB-Artikel für die an KB-Artikel angehängten Bilder abgerufen. Diese Ausnahmen von der Standardrichtlinie für nicht authentifizierte Anwender, wenn diese Eigenschaft „wahr“ ist, werden in der folgenden Reihenfolge angewendet. Hinweis: In diesen Ausnahmen bezieht sich „übergeordnete Tabelle“ auf die Tabelle des ursprünglichen Bildanhangs, aus dem eine Miniaturansicht generiert wird. 1. Wenn die Tabelle eines angehängten Bilds oder der übergeordneten Tabelle eines Miniaturbilds in der Tabelle „Sicherheitsberechtigungs-/Deny-Listenentitäten“ [sys_security_restricted_list] abgelehnt wird, wird der Zugriff auf das Bild/die Miniaturansicht verweigert. 2. Wenn die Tabelle eines angehängten Bilds oder die übergeordnete Tabelle eines Miniaturbilds in der Tabelle „Sicherheitsberechtigungs-/Deny-Listenentitäten“ [sys_security_restricted_list] zugelassen ist, wird Zugriff auf das Bild/die Miniaturansicht gewährt. 3. Wenn die Tabelle eines angehängten Bildes oder die übergeordnete Tabelle eines Miniaturbilds in einem öffentlichen KB-artikel enthalten ist, wird Zugriff auf das Bild/die Miniaturansicht gewährt.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Eigenschaft „glide.image_provider.security_enabled“ auf „wahr“ festgelegt ist.

  • (Neu)

    Stellen Sie sicher, dass die Eigenschaft „glide.image_provider.security_enabled“ auf „wahr“ festgelegt ist. Wenn die Eigenschaft in der Tabelle „sys_properties“ nicht vorhanden ist, ist der Standardwert

    „Falsch“.

• Sicherheitsrisiko
  • (Alt)

    Die Einschränkung sollte für nicht authentifizierte Anwender angewendet werden, da einige Anhänge vertrauliche Informationen enthalten können.

  • (Neu)

    Wenn die Eigenschaft auf „falsch“ festgelegt ist, sind Bildanhänge für alle sichtbar, die authentifiziert oder nicht authentifiziert sind, mit einer URL zum Anhang. Dies kann zu Leckagen vertraulicher Informationen führen. Um dies zu vermeiden, legen Sie die Eigenschaft auf „wahr“ fest, und stellen Sie sicher, dass alle Ausnahmen zur Standardrichtlinie, wenn die Eigenschaft „wahr“ ist, ordnungsgemäß konfiguriert sind.

• Funktionale Auswirkung
  • (Alt)

    Keine signifikanten Auswirkungen auf die Funktionalität. Die Anwender-Experience kann betroffen sein, da der Anwender, der zuvor direkt auf .iix zugegriffen hat, die Authentifizierung durchlaufen muss.

  • (Neu)

    Wenn die Eigenschaft zuvor „falsch“ war und dann auf „wahr“ festgelegt ist, können nicht authentifizierte Anwender nicht mehr auf Bildanhänge zugreifen, es sei denn, dies ist ausdrücklich mit einem der Ausschlussverfahren zulässig.

• Name Der Technischen Konfiguration
  • (Alt)

    Glide.enable.blacklist_password

  • (Neu)

    Glide.enable.blacklist_password, blacklist_password

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Eigenschaft „Glide.enable.blacklist_password“, um Passwörter der Deny-Liste zu überwachen. Wenn die Eigenschaft auf „wahr“ festgelegt ist, wird das Passwort des Anwenders anhand einer bestimmten Liste von Passwörtern auf der Deny-Liste überprüft. Diese Ablehnung verhindert, dass Anwender ein Passwort aus einer Reihe von Passwörtern mit Verstößen verwenden. Sie können die Liste verwalten, indem Sie Passwörter in die Tabelle „Ausgeschlossenes Passwort“ [blacklist_password] einfügen. ServiceNow bietet eine kleine, mittlere oder große Passwortliste, die über die UI-Seite „alle“ > „Passwortrichtlinie“ > „Ausschlusslistenverwaltung“ in die Tabelle „Ausgeschlossene Passwörter“ eingefügt werden kann. ServiceNow installiert die kleine Liste von 5.000 Passwörtern in neuen Instanzen.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Eigenschaft „glide.enable.blacklist_password“ auf „wahr“ festgelegt ist.

  • (Neu)

    Stellen Sie sicher, dass die Systemeigenschaft „Glide.enable.blacklist_password“ auf „wahr“ festgelegt ist und dass die Tabelle „Ausgeschlossenes Passwort“ [blacklist_password] mindestens 5.000 Datensätze enthält.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Angreifer zielen häufig auf häufig verwendete oder zuvor offengelegte Passwörter ab. Dies kann zu einer Gefährdung des Accounts durch Credential Stuffing oder Brute-Force-Angriffe führen. Das Erzwingen von Passwortprüfungen auf der Deny-Liste stärkt die Authentifizierungssicherheit und reduziert das Risiko von anmeldeinformationsbasierten Angriffen.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Einige Anwender haben möglicherweise Schwierigkeiten bei der Auswahl eines Passworts.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Boolean

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    wahr

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt)

    Steuern Sie das Verhalten von Anwendungsdaten, die sich in primären Tabellen außerhalb der Anwendung befinden. Wenn diese Eigenschaften einen Wert von haben Wahr , Nur die anwendungsspezifischen ACLs werden für den Zugriff auf die Anwendungsdaten in diesen Tabellen ausgewertet. Nicht alle Anwendungen sind so konzipiert, dass sie in dieser Konfiguration funktionieren oder einen Systemeigenschaftsdatensatz [sys_properties] zu diesem Zweck verwenden. Diese Systemeigenschaften verwenden das Namensformat „Glide.enforce_Security_scope.“. Verwenden Sie beispielsweise die Eigenschaft „glide.enforce_security_scope.sn_hr_sp“ für den Bereich „Kern des Mitarbeiter-Centers“ (sn_HR_sp). Die folgenden Anwendungsbereiche enthalten diese Eigenschaft: sn_doc sn_egd_ACT sn_egd_Core sn_egd_Goals sn_em sn_GSM sn_gsm_info_req-sn_gsm_lic_prmt-sn_gsm_lic_prmt_ex-sn_gsm_soc_bnfts sn_hc_Professional sn_hr_agent_ws-sn_hr_ai_agents sn_HR_Awa

    sn_HR_Core sn_HR_ef sn_HR_er sn_hr_gen_ai sn_HR_hc sn_HR_le sn_hr_le_ent-sn_hr_mii_base-sn_hr_na_galileo sn_HR_Pad sn_HR_pj sn_HR_sp sn_HR_va sn_HR_WS sn_imt_health_test sn_imt_vaccine sn_ja sn_jny sn_lg_Contracts sn_svc_appl_info sn_svc_appl_pgm_mg

  • (Neu)

    Steuern Sie das Verhalten von Anwendungsdaten, die sich in primären Tabellen außerhalb der Anwendung befinden. Wenn diese Eigenschaften einen Wert von haben Wahr , Nur die anwendungsspezifischen ACLs werden für den Zugriff auf die Anwendungsdaten in diesen Tabellen ausgewertet. Nicht alle Anwendungen sind so konzipiert, dass sie in dieser Konfiguration funktionieren oder einen Systemeigenschaftsdatensatz [sys_properties] zu diesem Zweck verwenden.

    Diese Systemeigenschaften verwenden das Namensformat „Glide.enforce_Security_scope.“. Verwenden Sie beispielsweise die Eigenschaft „glide.enforce_security_scope.sn_hr_sp“ für den Bereich „Kern des Mitarbeiter-Centers“ (sn_HR_sp). Die folgenden Anwendungsbereiche enthalten diese Eigenschaft: sn_doc sn_egd_ACT sn_egd_Core sn_egd_Goals sn_em sn_GSM sn_gsm_info_req sn_hr_le_ent sn_imt_health_test-sn_gsm_lic_prmt-sn_gsm_lic_prmt_ex-sn_gsm_soc_bnfts sn_hc_Professional sn_hr_agent_ws-sn_hr_ai_agents sn_sn_hr_mii_base HR_Core sn_HR_ef sn_sn_hr_na_galileo HR_er sn_hr_gen_ai sn_HR_hc

    sn_lg_Contracts sn_lg_matter sn_lg_OPS sn_Opp_Market sn_Professional sn_svc_appl_info-sn_svc_appl_pgm_mg sn_Talent_aia sn_Uni_req sn_Uni_Task sn_egd_lh sn_ecn sn_ni_Core sn_hr_voice_aia

• Fehlerkorrektur
  • (Alt)

    Stellen Sie für jede Anwendung, die mit der Eigenschaft „Glide.enforce_Security_scope“ in der Tabelle „Systemeigenschaften“ [sys_properties] (z. B. glide.enforce_security_scope.sn_hr_core) installiert ist, sicher, dass der Eigenschaftswert auf „wahr“ festgelegt ist. Diese Eigenschaften können nur vom bereichsbezogenen Administrator für die spezifische Anwendung geändert werden. Wenn für die angegebene Anwendung und die jeweilige Eigenschaft kein sys_properties-Datensatz vorhanden ist, muss er erstellt werden. Verwenden Sie dieses Skript, um zu finden, welche Eigenschaften in der Instanz aktualisiert oder erstellt werden müssen: VAR-Eigenschaften = [ „glide.enforce_security_scope.sn_uni_task“, „glide.enforce_security_scope.sn_uni_req“, „glide.enforce_security_scope.sn_svc_appl_info“, „glide.enforce_security_scope.sn_professional“, „glide.enforce_security_scope.sn_opp_market“, „glide.enforce_security_scope.sn_lg_ops“, „glide.enforce_security_scope.sn_lg_matter“, „glide.enforce_security_scope.sn_lg_contracts“, „glide.enforce_security_scope.sn_jny“, „glide.enforce_security_scope.sn_ja“, „glide.enforce_security_scope.sn_imt_vaccine“, „glide.enforce_security_scope.sn_imt_tracing“, „glide.enforce_security_scope.sn_imt_health_test“, „glide.enforce_security_scope.sn_hr_ws“, „glide.enforce_security_scope.sn_hr_va“, „glide.enforce_security_scope.sn_hr_sp“, „glide.enforce_security_scope.sn_hr_pj“, „glide.enforce_security_scope.sn_hr_pad“, „glide.enforce_security_scope.sn_hr_mii_base“, „glide.enforce_security_scope.sn_hr_le“, „glide.enforce_security_scope.sn_hr_le_ent“, „glide.enforce_security_scope.sn_hr_hc“, „glide.enforce_security_scope.sn_hr_gen_ai“, „glide.enforce_security_scope.sn_hr_er“, „glide.enforce_security_scope.sn_hr_ef“, „glide.enforce_security_scope.sn_hr_core“, „glide.enforce_security_scope.sn_hr_awa“, „glide.enforce_security_scope.sn_hr_agent_ws“, „glide.enforce_security_scope.sn_hc_professional“, „glide.enforce_security_scope.sn_gsm_soc_bnfts“, „glide.enforce_security_scope.sn_gsm_lic_prmt_ex“, „glide.enforce_security_scope.sn_gsm_lic_prmt“, „glide.enforce_security_scope.sn_gsm_info_req“, „glide.enforce_security_scope.sn_gsm“, „glide.enforce_security_scope.sn_em“, „glide.enforce_security_scope.sn_egd_goals“, „glide.enforce_security_scope.sn_egd_core“, „glide.enforce_security_scope.sn_egd_act“, „glide.enforce_security_scope.sn_doc“, „glide.enforce_security_scope.sn_talent_aia“, „glide.enforce_security_scope.sn_hr_na_galileo“, „glide.enforce_security_scope.sn_svc_appl_pgm_mg“, „glide.enforce_security_scope.sn_hr_ai_agents“, „glide.enforce_security_scope.sn_hr_mii_base“ ]; VAR pm = neuer GlidePluginManager(); für (VAR i = 0; i < properties.length; i+) { var property = properties[i]; VAR Application = property.Split('.')[2]; var propertyValue = gs.getProperty(property, 'false'); if (pm.isActive(Application) &&& propertyValue.toLowerCase() != 'print'; }(property'; }(property

  • (Neu)

    Stellen Sie für jede Anwendung, die mit der Eigenschaft „Glide.enforce_Security_scope“ in der Tabelle „Systemeigenschaften“ [sys_properties] (z. B. glide.enforce_security_scope.sn_hr_core) installiert ist, sicher, dass der Eigenschaftswert auf „wahr“ festgelegt ist. Diese Eigenschaften können nur vom bereichsbezogenen Administrator für die spezifische Anwendung geändert werden. Wenn für die angegebene Anwendung und die jeweilige Eigenschaft kein sys_properties-Datensatz vorhanden ist, muss er erstellt werden. Verwenden Sie dieses Skript, um zu finden, welche Eigenschaften für die Instanz aktualisiert oder erstellt werden müssen:

    VAR-Eigenschaften = [ „glide.enforce_security_scope.sn_uni_task“, „glide.enforce_security_scope.sn_uni_req“, „glide.enforce_security_scope.sn_svc_appl_info“, „glide.enforce_security_scope.sn_professional“, „glide.enforce_security_scope.sn_opp_market“, „glide.enforce_security_scope.sn_lg_ops“, „glide.enforce_security_scope.sn_lg_matter“, „glide.enforce_security_scope.sn_lg_contracts“, „glide.enforce_security_scope.sn_jny“, „glide.enforce_security_scope.sn_ja“, „glide.enforce_security_scope.sn_imt_vaccine“, „glide.enforce_security_scope.sn_imt_tracing“, „glide.enforce_security_scope.sn_imt_health_test“, „glide.enforce_security_scope.sn_hr_ws“, „glide.enforce_security_scope.sn_hr_va“, „glide.enforce_security_scope.sn_hr_sp“, „glide.enforce_security_scope.sn_hr_pj“, „glide.enforce_security_scope.sn_hr_pad“, „glide.enforce_security_scope.sn_hr_mii_base“, „glide.enforce_security_scope.sn_hr_le“, „glide.enforce_security_scope.sn_hr_le_ent“, „glide.enforce_security_scope.sn_hr_hc“, „glide.enforce_security_scope.sn_hr_gen_ai“, „glide.enforce_security_scope.sn_hr_er“, „glide.enforce_security_scope.sn_hr_ef“, „glide.enforce_security_scope.sn_hr_core“, „glide.enforce_security_scope.sn_hr_awa“, „glide.enforce_security_scope.sn_hr_agent_ws“, „glide.enforce_security_scope.sn_hc_professional“, „glide.enforce_security_scope.sn_gsm_soc_bnfts“, „glide.enforce_security_scope.sn_gsm_lic_prmt_ex“, „glide.enforce_security_scope.sn_gsm_lic_prmt“, „glide.enforce_security_scope.sn_gsm_info_req“, „glide.enforce_security_scope.sn_gsm“, „glide.enforce_security_scope.sn_em“, „glide.enforce_security_scope.sn_egd_goals“, „glide.enforce_security_scope.sn_egd_core“, „glide.enforce_security_scope.sn_egd_act“, „glide.enforce_security_scope.sn_doc“, „glide.enforce_security_scope.sn_talent_aia“, „glide.enforce_security_scope.sn_hr_na_galileo“, „glide.enforce_security_scope.sn_svc_appl_pgm_mg“, „glide.enforce_security_scope.sn_hr_ai_agents“, „glide.enforce_security_scope.sn_egd_lh“, „glide.enforce_security_scope.sn_ecn“, „glide.enforce_security_scope.sn_ni_core“, „glide.enforce_security_scope.sn_hr_voice_aia“, ];

    VAR pm = neuer GlidePluginManager(); für (VAR i = 0; i < properties.length; i+) { var property = properties[i]; var Application = property.Split('.')[2]; var propertyValue = gs.getProperty(property, 'false'); if (pm.isActive(Application) && propertyValue.toLowerCase() != 'true') { gs.print(property); }

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Systemeigenschaft „Glide.script_processor.admin“, um eine erforderliche Rolle für den Zugriff auf das Modul „Skripts – Hintergrund“ festzulegen. Wenn diese Eigenschaft nicht auf den empfohlenen Wert „background_script_admin“ oder eine andere Rolle mit hohen Berechtigungen festgelegt ist, können Anwender mit Rollen mit niedrigeren Berechtigungen Hintergrundskripts auf Ihrer Instanz ausführen.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Eigenschaft „Glide.script_processor.admin“ auf „admin“ festgelegt ist. Dies ist der Standardwert für Instanzen.

  • (Neu)

    Stellen Sie sicher, dass die Eigenschaft „Glide.script_processor.admin“ auf „background_script_admin“ festgelegt ist. Dies ist auch der Standardwert.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Hintergrundskripts ermöglichen eine vollständige Umgehung des ACL-Systems, wodurch vollständiger Zugriff auf Tabellen ermöglicht wird.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Anwender ohne die in der Eigenschaft angegebene Rolle können nicht wie vorgesehen auf das Modul „Skripts – Hintergrund“ zugreifen.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Zeichenfolge, die eine Anwenderrolle enthält

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    Background_script_admin

• Fallback-Wert
  • (Alt)

    Administrator

  • (Neu)

    Background_script_admin

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Wenn die Eigenschaft „com.glide.communications.httpclient.verify_revoked_certificate" nicht auf den empfohlenen Wert „wahr“ konfiguriert ist, werden Zertifikatwiderrufsprüfungen während des TLS-Handshake übersprungen.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Diese Auslassung untergräbt eine kritische Sicherheitskontrolle und ermöglicht es einem Angreifer potenziell, ein widerrufenes Zertifikat ohne Erkennung zu verwenden. Dies gefährdet die Integrität der öffentlichen Schlüsselinfrastruktur (PKI) und des Vertrauensmodells, das die sichere Webkommunikation unterstützt.

• Kurzbeschreibung
  • (Alt)

    Zulässige interne ServiceNow-IP-Adressen definieren

  • (Neu)

    Reduzieren Sie den Umfang der IP-Allow-Liste für eine Instanz

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Eigenschaft glide.ip.authenticate.strict, um den Umfang der IP-Allow-Liste einer Instanz zu reduzieren und die IP-Adressen einzuschränken, mit denen ServiceNow-Mitarbeiter eingehende/ausgehende Verbindungen zu einer Instanz herstellen können. Die genauen IP-Bereiche, die durch diese Eigenschaft aus der IP-Allow-Liste entfernt wurden, können im Laufe der Zeit als angepasst werden

    Interne ServiceNow-Netzwerkänderungen. Bei „wahr“ garantiert glide.ip.authenticate.strict immer eine IP-Allow-Liste, die dem Standard entspricht oder restriktiver als dieser ist. Wenn „glide.ip.authenticate.strict auf „wahr“ festgelegt ist: Eine strikte Liste von ServiceNow-IP-Bereichen ersetzt die Standard-IP-Allow-Listen für eingehende und ausgehende Anforderungen. Diese IP-Allow-Liste, die mit einem restriktiveren vordefinierten Satz zulässiger IP-Bereiche beginnt, wird durch die Eigenschaft glide.ip.authenticate.allow.secured.self_hosted_list ersetzt, wenn die Instanz selbst gehostet wird. Wenn „glide.ip.authenticate.strict auf „falsch“ festgelegt ist, wird die standardmäßige IP-Allow-Liste verwendet, die einen breiteren Satz von ServiceNow-IP-Bereichen enthält. Die standardmäßige IP-Allow-Liste wird durch den Inhalt von glide.ip.authenticate.allow.self_hosted_list ersetzt, wenn die Instanz selbst gehostet wird. Hinweis: Unabhängig vom Wert glide.ip.authenticate.strict oder wenn die Instanz selbst gehostet wird, enthält die Allow-Liste IP-Adressen in den Systemeigenschaften glide.custom.ip.authenticate.allow und glide.custom.ip.outbound.authenticate.allow, falls definiert. Alle IP-Listeneigenschaften haben dasselbe Format, d. h. ein kommagetrennter Bereich von IP-Adressen im IPv4- oder IPv6-Format. IP-Bereiche werden mit einem Bindestrich (10.0.10.14–10.0.10.19) oder mit CIDR-Schreibweise (10.0.10.0/24) angegeben oder bestehen aus einer einzelnen IP-Adresse (10.0.10.5). Zur Laufzeit können Sie der IP-Allow-Liste hinzufügen, indem Sie der Tabelle „IP-Adresszugriffssteuerungen“ [ip_Access] Einträge hinzufügen. Diese Tabelle kann auch verwendet werden, um den Zugriff auf IP-Bereiche auf eine Instanz explizit zu verweigern.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Eigenschaft „glide.ip.authenticate.allow.secured“ nur vertrauenswürdige Werte enthält und dass die Eigenschaft „glide.ip.authenticate.strict“ auf „wahr“ festgelegt ist.

  • (Neu)

    Stellen Sie sicher, dass die Eigenschaft glide.ip.authenticate.strict auf „wahr“ festgelegt ist. Wenn die Eigenschaft in der Tabelle „Systemeigenschaften“ [sys_properties] nicht vorhanden ist, ist der Standardwert „falsch“.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Ein breiterer Zugriff erhöht das Risiko eines nicht autorisierten oder unnötigen Zugriffs auf die Instanz durch nicht wichtige interne Anwender wie Support- oder Vertriebsmitarbeiter und reduziert die Kontrolle über privilegierten Zugriff. Die Durchsetzung einer strikten IP-Authentifizierung schränkt die Konnektivität auf wichtige Infrastrukturen ein, wodurch die Sicherheit erhöht und das Risiko interner Bedrohungen oder Fehlkonfigurationen reduziert wird.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Dies darf keine funktionalen Auswirkungen haben. Dies kann den Zugriff auf eine Instanz durch nicht wesentliche persönliche ServiceNow einschränken. Dies sind jedoch Einzelpersonen, die im Allgemeinen keinen Zugriff auf solche Instanzen benötigen. Wenn Zugriff erforderlich ist, können Sie ihn von Fall zu Fall mithilfe der Tabelle „IP-Adresszugriffssteuerungen“ [ip_Access] gewähren.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    boolean

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    falsch

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Systemeigenschaft com.glide.security.referrerpolicy, um zu steuern, welche Informationen im Referrer-HTTP-Header auf der Now Platform enthalten sind. Die im Referrer-Header enthaltenen Daten sind gemäß der Richtlinie dieser Eigenschaft Ursprung, Pfad und Abfragezeichenfolgen der vollständigen Referrer-URL. Diese Werte sind die standardisierten Referrer-Richtlinienwerte, die vom HTTP-Protokoll mit hinzugefügt werden

    Wert „Standard“. Abhängig von der von dieser Eigenschaft festgelegten Richtlinie kann der Referrer-Header vertrauliche Informationen über oder von der Entität enthalten, die die Anforderung stellt.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Glide-Eigenschaft „com.glide.security.referrerpolicy“ auf „Standard“ festgelegt ist.

  • (Neu)

    Stellen Sie sicher, dass die Systemeigenschaft com.glide.security.referrerpolicy auf einen der folgenden Werte festgelegt ist: „Default“, „same-origin“, „origin-when-cross-origin“ oder „strict-originwhen-cross-origin“.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn die Systemeigenschaft „com.glide.security.referrerpolicy auf „no-Referrer-when-Downgrade“ oder „unsafe-url“ festgelegt ist, enthält der Referrer-Header einer Anforderung an eine andere Website als die Quelle die vollständige URL für die überweisende Seite, die die Anforderung stellt. Die vollständige Referrer-URL, die für externe Websites freigegeben wird, kann vertrauliche Informationen aus oder über Ihre Instanz enthalten. Dies kann zu Datenverlust und Datenschutzverletzungen führen. Wenn die Eigenschaft auf „no-Referrer“, „origin“ oder „strikt-origin“ festgelegt ist, ist der Referrer-Header entweder nicht enthalten oder enthält nur den Ursprungsteil der Referrer-URL, wenn Anforderungen an den Ursprung gesendet werden. Diese Änderung kann die Nachverfolgung von Angriffspfaden in den Protokollen behindern, wenn ein Security Incident auftritt, da der genaue Ursprung einer Anforderung nicht einfach bestimmt werden kann. Die richtige Konfiguration dieser Eigenschaft ist wichtig, um die nicht autorisierte Offenlegung interner Bezeichner oder vertraulicher Parameter zu verhindern und gleichzeitig Security Incident-Untersuchungen zu ermöglichen.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Wenn die Systemeigenschaft „com.glide.security.referrerpolicy auf „no-Referrer“, „origin“ oder „strikt-origin“ festgelegt ist, ist der Referrer-Header entweder nicht enthalten oder enthält nur den Ursprungsteil der Referrer-URL, wenn Anforderungen an den Ursprung gesendet werden. Dieser Change kann die Funktionalität unterbrechen, die diese Daten erfordert. Einige Websites wie YouTube erfordern eingebettete Linkanforderungen, um mindestens den Ursprung in den Referrer-Header aufzunehmen (z. B. die Richtlinie „origin-when-Cross-origin“). Der entsprechende Wert dieser Eigenschaft hängt vom Instanzbesitzer und dem Anwendungsfall ab. Die von uns empfohlenen werden hier beschrieben. Diese Richtlinien sind sicher und beeinträchtigen nicht die Basissystemfunktionalität. Weitere Informationen zu diesen und den anderen standardisierten Richtlinien finden Sie unter https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Referrer-Policy. Standard: Funktionell gleich dem Festlegen des Werts auf „gleicher Ursprung“ gleicher Ursprung: Sendet den Ursprung, den Pfad und die Abfragezeichenfolge für Anforderungen gleicher Herkunft. Sendet den Referrer-Header für ursprungsübergreifende Anforderungen nicht. Origin-when-Cross-Origin: Wenn eine Anforderung mit demselben Ursprung ausgeführt wird, werden der Ursprung, der Pfad und die Abfragezeichenfolge gesendet. Sendet nur den Ursprung für ursprungsübergreifende Anforderungen und Anforderungen an weniger sichere Ziele (von HTTPS an HTTP). Strikt-Origin-when-Cross-Origin: Sendet den Ursprung, den Pfad und die Abfragezeichenfolge, wenn eine Anforderung mit demselben Ursprung ausgeführt wird. Sendet bei ursprungsübergreifenden Anforderungen den Ursprung nur, wenn die Protokollsicherheitsstufe gleich bleibt (von HTTPS zu HTTPS). Sendet den Referrer-Header nicht an weniger sichere Ziele (von HTTPS zu HTTP).

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Zeichenfolge

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    Standard

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Kurzbeschreibung
  • (Alt)

    URL-Allow-Liste für ursprungsübergreifende iFrame-Kommunikation aktivieren

  • (Neu)

    Beschränken Sie zulässige Domänen für die ursprungsübergreifende iFrame-Kommunikation

• Beschreibung
  • (Alt) <blank>
  • (Neu)

    Verwenden Sie die Eigenschaft „glide.ui.concourse.onmessage_enforce_same_origin“, um zu verhindern, dass ursprungsübergreifende Kommunikation von nicht vertrauenswürdigen Domänen stammt. Wenn nicht auf den empfohlenen Wert „wahr“ festgelegt, wird für ursprungsübergreifende Messaging keine Validierung durchgeführt. Bei „wahr“ können Domänen, die in der Systemeigenschaft „glide.ui.concourse.onmessage_enforce_same_origin_whitelist“ aufgeführt sind, Nachrichten in der Anwenderoberfläche verbreiten. Verwenden

    glide.ui.concourse.onmessage_enforce_same_origin_whitelist, um zu steuern, welche Domänen zulässig sind.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie sicher, dass die Eigenschaft „glide.ui.concourse.onmessage_enforce_same_origin“ auf „wahr“ festgelegt ist.

  • (Neu)

    Stellen Sie sicher, dass die glide.ui.concourse.onmessage_enforce_same_origin-Eigenschaft in der Tabelle „Systemeigenschaften“ [sys_properties] vorhanden und auf „wahr“ festgelegt ist.

• Sicherheitsrisiko
  • (Alt) <blank>
  • (Neu)

    Wenn die Ereignis-Handler einer Webseite nicht die richtige Ursprungsvalidierung durchführen, kann eine andere Webseite oder ein Skript aus einem beliebigen Ursprung mit ihr kommunizieren. Diese Seiten oder Skripts können auch alle Funktionen initiieren, die vom Ereignis-Handler ausgeführt werden. Mit dieser Eigenschaft können potenziell nicht vertrauenswürdige externe Domänen Nachrichten an die ServiceNow-Instanz senden, was das Risiko von urheberübergreifenden Angriffen wie Datendiebstahl oder UI-Manipulation erhöht.

• Funktionale Auswirkung
  • (Alt) <blank>
  • (Neu)

    Wenn Sie der Aufnahmeliste in der Systemeigenschaft „glide.ui.concourse.onmessage_enforce_same_origin_whitelist“ keine beabsichtigten Domänen hinzufügen, sind ursprungsübergreifende Nachrichten aus dieser Domäne nicht zulässig.

• Datentyp
  • (Alt) <blank>
  • (Neu)

    Boolean

• Vordefinierter Wert
  • (Alt) <blank>
  • (Neu)

    wahr

• Fallback-Wert
  • (Alt)

    wahr

  • (Neu)

    falsch

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.

• Kurzbeschreibung
  • (Alt)

    Mindestlänge von Passwörtern festlegen

  • (Neu)

    Erfordert minimale und maximale Passwortlänge

• Beschreibung
  • (Alt)

    Wenn Passwortrichtlinien nicht aktiviert sind und eine Passwortlänge von mindestens 12 Zeichen erzwingen, kann ein Anwender ein Passwort mit weniger als 12 Zeichen erstellen.

  • (Neu)

    Passwortrichtlinien definieren die Anforderungen für Passwörter, die Ihre Anwender in Ihrer Instanz erstellen. Die Passwortlänge muss innerhalb des vom NIST 800-63B-Dokument akzeptierten Bereichs liegen.

• Fehlerkorrektur
  • (Alt)

    Stellen Sie für jeden Passwort-Anmeldeinformationsspeicher, der in der Instanz verwendet wird, sicher, dass eine Passwortrichtlinie durchgesetzt wird und dass die Passwortrichtlinie eine Passwortlänge von mindestens 12 Zeichen vorschreibt. Stellen Sie für jeden verwendeten Passwort-Anmeldeinformationsspeicher (Tabelle „pwd_cred_Store“) sicher, dass „Passwortrichtlinie aktivieren“ im Datensatz aktiviert ist. Navigieren Sie als Nächstes zum Datensatz „Passwortrichtlinie“ („password_Policy“), auf den im Datensatz „Passwortrichtlinie“ im Datensatz des Anmeldeinformationsspeichers für Passwörter verwiesen wird. Stellen Sie sicher, dass das Feld „Mindestpasswortlänge“ auf mindestens 12 festgelegt ist. Weitere Anweisungen zum Konfigurieren einer Passwortrichtlinie finden Sie in der Dokumentation: https://www.servicenow.com/docs/csh?topicname=enable-passwordpolicies.html&version=latest.

  • (Neu)

    1. Stellen Sie sicher, dass für jeden in Ihrer Instanz verwendeten Anmeldeinformationsspeicher für Passwörter eine Passwortrichtlinie erzwungen wird: a. Stellen Sie für jeden Datensatz des Passwortrichtlinienspeichers in der Tabelle „Anmeldeinformationsspeicher für Passwortzurücksetzung“ [pwd_cred_Store] sicher, dass das Feld „Passwortrichtlinie aktivieren“ aktiviert ist. 2. Stellen Sie sicher, dass die Passwortrichtlinie eine Passwortlänge von mindestens 15 Zeichen und eine maximale Passwortlänge von mindestens 64 Zeichen vorschreibt. A. Navigieren Sie zum Datensatz der Passwortrichtlinie [password_Policy], auf den im Feld „Passwortrichtlinie“ des Datensatzes verwiesen wird. Stellen Sie sicher, dass das Feld „minimale Passwortlänge“ auf mindestens 15 und das Feld „maximale Passwortlänge“ auf mindestens 64 festgelegt ist. 3. Weitere Anweisungen zum Konfigurieren einer Passwortrichtlinie finden Sie in der Dokumentation: https://www.servicenow.com/docs/csh?topicname=enable-passwordpolicies.html&version=latest.

• Sicherheitsrisiko
  • (Alt)

    Das Festlegen der Eigenschaft auf weniger als einen Wert von 12 kann zu Compliance-Problemen führen und das Risiko erhöhen, dass ein Angreifer Passwörter erfolgreich mit Brute-Erzwingen durchsetzt.

  • (Neu)

    Das Zulassen von Passwörtern, die zu kurz oder nicht lang genug sind, kann zu Compliance-Problemen führen und das Risiko erhöhen, dass ein Angreifer Passwörter erfolgreich mit Brute-Erzwingen erzwingt.

• Funktionale Auswirkung
  • (Alt)

    Aus technischer Sicht hat die Mindestlänge von 12 Zeichen für Passwörter keine Auswirkungen auf die Instanz.

  • (Neu)

    Instanzen haben keine Auswirkungen durch eine Mindestpasswortlänge von 15 oder eine maximale Passwortlänge von 64.

• Datentyp
  • (Alt)

    Ganzzahl

  • (Neu)

    Boolescher Wert und Ganzzahl

• Vordefinierter Wert
  • (Alt)

    8

  • (Neu)

    – Die Mindestpasswortlänge in Passwortrichtlinien-Datensätzen [password_Policy] beträgt standardmäßig 8. Die maximale Passwortlänge in Passwortrichtlinien-Datensätzen [password_Policy] beträgt standardmäßig 100.

• Fallback-Wert
  • (Alt)

    8

  • (Neu)

    – Der Fallback-Wert der Mindestpasswortlänge in Passwortrichtlinien-Datensätzen [password_Policy] ist 8. Der Fallback-Wert der maximalen Passwortlänge im Passwortrichtliniendatensatz [password_Policy] ist 100.

Regelskript

(Neu) Skript aktualisiert, um die Erkennungsgenauigkeit zu verbessern.