| Autorisierung für SOAP-Anforderungen erfordern [Aktualisiert in Security Center 1.3, 1.5 und 2.0] |
- Neuer Name der technischen Konfiguration: glide.basicauth.required.soap, glide.soap.require_ws_security
- Alter technischer Konfigurationsname: glide.basicauth.required.soap
- Neue Beschreibung: Die Glide-Eigenschaft glide.basicauth.required.soap steuert, ob zum Stellen einer SOAP-Anforderung an eine Instanz eine Standardauthentifizierung erforderlich ist. Wenn glide.basicauth.required.soap nicht auf den empfohlenen Wert „true“ festgelegt ist, werden nicht authentifizierte Benutzer, die SOAP-Vorgänge ausführen, dem SOAP.guest-Benutzer zugeordnet. Dies kann es einem nicht authentifizierten Benutzer ermöglichen, Vorgänge auf der Instanz so auszuführen, als ob ein Benutzer bei der Instanz angemeldet wäre. Es kann zusätzliche Auswirkungen haben, wenn dem in com.glide.soap.guest_user definierten Anwender zusätzliche Rollen zugewiesen werden.
- Alte Beschreibung: Die Glide-Eigenschaft glide.basicauth.required.soap steuert, ob eine Authentifizierung erforderlich ist, um eine SOAP-Anforderung an eine Instanz zu stellen. Wenn glide.basicauth.required.soap nicht auf den empfohlenen Wert „true“ festgelegt ist, wird die Authentifizierung für SOAP-Anforderungen in der Instanz deaktiviert. Sie ermöglicht den nicht authentifizierten Zugriff auf Vorgänge auf Administrator- oder Wartungsebene. Dadurch werden die Sicherheitskontrollen innerhalb der Instanz aufgehoben.
- Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.soap auf den Wert „wahr“ festgelegt ist. Alternativ können Sie die Instanz für WS-Sicherheit konfigurieren, indem Sie die Eigenschaft glide.soap.require_ws_security auf „wahr“ setzen und der Produktdokumentation zum Konfigurieren von WS-Sicherheitsprofilen folgen.
- Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.soap in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Escape-Zeichen für Jelly-Skript [In Security Center 1.3 und 1.5 aktualisiert] |
- Neue Beschreibung: Diese Eigenschaft versieht alle JS- und HTML-Zeichenfolgen, bevor sie in den Ausgabestream geschrieben werden, mit Escape-Zeichen, wodurch mehrere XSS-Probleme verhindert werden. Wenn glide.ui.escape_all_script nicht auf den empfohlenen Wert „true“ festgelegt ist, ist das Escaping von in Jelly injizierten Skripts deaktiviert. Ohne diese Minderung ist die Plattform offen für eine Vielzahl von Skripteinschleusungsangriffen. Ein Angreifer könnte beliebigeRhino-Skripts auf der Instanz ausführen.
- Alte Beschreibung: Die folgende Eigenschaft versieht alle in enthaltenen JS- und HTML-Zeichenfolgen mit Escape-Zeichen<j:jelly> ...</j:jelly> bevor sie in den Ausgabestream geschrieben werden, wodurch mehrere XSS-Probleme verhindert werden. Wenn glide.ui.escape_all_script nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist das Escaping von in Jelly eingefügten Skripts deaktiviert. Ohne diese Minderung ist die Plattform offen für eine Vielzahl von Skripteinschleusungsangriffen. Ein Angreifer könnte beliebigeRhino-Skripts auf der Instanz ausführen.
|
| Verhindern, dass Benutzer die Warnung zur Umgehung der CSRF-Validierung akzeptieren [aktualisiert in Security Center 1.3 und 1.5] |
- Neue Kurzbeschreibung: Verhindern, dass Anwender die Warnung zur Umgehung der CSRF-Validierung akzeptieren
- Alte Kurzbeschreibung: Strikte CSRF-Token-Validierung erzwingen
- Neue Beschreibung: Diese Eigenschaft verhindert, dass Benutzer eine Warnung akzeptieren können, die das Senden einer potenziell schädlichen Anforderung an die Instanz ermöglicht. Diese Warnung wird angezeigt, wenn eine POST-Anforderung aufgrund eines nicht übereinstimmenden Anti-CSRF-Tokens fehlschlägt, das zu einer der anderen aktiven Sitzungen des Opfers gehört. Wenn glide.security.csrf.strict.validation.mode nicht auf den empfohlenen Wert „true“ festgelegt ist, kann ein Angreifer einen CSRF-Angriff mithilfe eines geleakten Anti-CSRF-Tokens aus einer anderen aktiven Sitzung des Opfers formulieren. Eine POST-Anforderung an eine Instanz enthält ein Anti-CSRF-Token innerhalb von „sysparm_ck“ oder „X-UserToken“, was der aktuellen Sitzung des Benutzers entspricht. Wenn das Anti-CSRF-Token stattdessen an eine der anderen aktiven Sitzungen des Benutzers gebunden ist, gibt die POST-Anforderung eine 302-Umleitung an security_interceptor.do mit einer Schaltfläche „Fortsetzen“ zurück, die dem Benutzer zur Verfügung steht, wenn diese Eigenschaft auf „falsch“ festgelegt ist. Durch Klicken auf diese Schaltfläche wird die Anforderung erneut an die Instanz übermittelt, mit der Ausnahme, dass jetzt ein gültiges Anti-CSRF-Token vorhanden ist. Wenn diese Eigenschaft auf „wahr“ festgelegt ist, zeigt die 302-Umleitung zur Seite „security_interceptor.do“ keine Schaltfläche „Fortsetzen“ an, und der Anwender darf die Anforderung nicht erneut übermitteln. Ein erfolgreicher CSRF-Angriff ermöglicht es einem Angreifer, alle Vorgänge, die der in der Lage ist, eine Leistung zu erbringen.
- Alte Beschreibung: Diese Eigenschaft aktiviert die strikte Validierung des CSRF-Tokens, die die Wiederverwendung von CSRF-Token verhindert. Wenn glide.security.csrf.strict.validation.mode nicht auf den empfohlenen Wert „true“ festgelegt ist, können CSRF-Token wiederverwendet werden, was CSRF-Angriffe erleichtert.
- Neue CVSS-Punktzahl: 3,7
- Alte CVSS-Punktzahl: 3,1
|
| Authentifizierung für Ereignismanagement-HTTP-Prozessor erforderlich [Neu in Security Center 1.3, Aktualisiert in 1.5 und entfernt in 2.0] |
- Neue Kurzbeschreibung: Authentifizierung für Ereignismanagement-HTTP-Prozessor erforderlich
- Alte Kurzbeschreibung: Authentifizierung für Ereignismanagement-HTTP-Prozessor erforderlich
|
| Anti-CSRF-Token aktivieren [Neu in Security Center 1.3, aktualisiert in 1.5 und entfernt in 2.0] |
- Neue Beschreibung: Cross-Site Request Forgery (CSRF) ist ein Angriff, der authentifizierte Benutzer dazu zwingt, eine Anforderung an eine Webanwendung zu senden, für die sie derzeit authentifiziert sind. CSRF-Angriffe nutzen das Vertrauen einer Webanwendung in einen authentifizierten Benutzer aus. Diese Eigenschaft ermöglicht die Verwendung eines sicheren Tokens zum Identifizieren und Validieren eingehender Anforderungen. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. Wenn glide.security.use_csrf_token nicht auf den empfohlenen Wert „true“ festgelegt ist, ist CSRF möglich.
- Alte Beschreibung: Cross-Site Request Forgery (CSRF) ist ein Angriff, der authentifizierte Benutzer dazu zwingt, eine Anforderung an eine Webanwendung zu senden, für die sie derzeit authentifiziert sind. CSRF-Angriffe nutzen das Vertrauen einer Webanwendung in einen authentifizierten Benutzer aus. Diese Eigenschaft ermöglicht die Verwendung eines sicheren Tokens zum Identifizieren und Validieren eingehender Anforderungen. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. Wenn glide.security.use_csrf_token nicht auf den empfohlenen Wert „true“ festgelegt ist, ist CSRF möglich.
|
| HTML-Bereinigung in Virtual Agent aktivieren [Aktualisiert in Security Center 1.3 und 1.5] |
- Neue Kurzbeschreibung: HTML-Bereinigung in Virtual Agent aktivieren
- Alte Kurzbeschreibung: HTML-Bereinigung aktivieren
- Neue Beschreibung: Diese Eigenschaft steuert, ob „HTMLSanitizerService“ aktiviert ist. Wenn com.glide.cs.html.sanitizer.enabled nicht auf „wahr“ festgelegt ist, ist im VA-Webclient ein XSS-Angriff (Stored Cross-Site Scripting) möglich.
- Alte Beschreibung: Diese Eigenschaft steuert, ob „HTMLSaniterService“ aktiviert ist. Wenn com.glide.cs.html.sanitizer.enabled nicht auf „wahr“ festgelegt ist, ist im VA-Webclient ein XSS-Angriff (Stored Cross-Site Scripting) möglich.
|
| Internen Zugriff auf explizite externe Rollen verweigern [Aktualisiert in Security Center 1.3 und 1.5] |
|
| Autorisierung für WSDL-Anforderung erfordern [Aktualisiert in Security Center 1.3 und 1.5] |
- Neue Beschreibung: Wenn glide.basicauth.required.wsdl nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für WSDL-Anforderungen deaktiviert. WSDL ist ein Protokoll, das zur Beschreibung von Webservices wie Instanztabellenschemata verwendet wird. Es handelt sich nicht um einen Mechanismus für die gemeinsame Nutzung von Daten innerhalb von Tabellen. Wenn Sie diese Eigenschaft auf „true“ setzen, können Tabellenschemata für nicht authentifizierte Anwender offengelegt werden.
- Alte Beschreibung: Wenn glide.basicauth.required.wsdl nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Standardauthentifizierung für WSDL-Anforderungen deaktiviert. Dies könnte zur Offenlegung von Informationen für nicht authentifizierte Anwender führen.
- Neue CVSS-Punktzahl: 5,3
- Alte CVSS-Punktzahl: 4,3
|
| Prüfung der URL-Allow-Liste erzwingen [Aktualisiert in Security Center 1.3, 1.5 und 2.0] |
Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Eingeschränkt herunterladbare MIME-Typen definieren [Aktualisiert in Security Center 1.3, 1.5 und 2.0] |
- Neue Kurzbeschreibung: Eingeschränkt herunterladbare MIME-Typen definieren
- Alte Kurzbeschreibung: Herunterladbare MIME-Typen einschränken
- Neue Beschreibung: Wenn glide.ui.attachment.download_mime_types gefährliche Elemente wie text/html,image/svg,image/svg+xml,application/xml enthält, können gefährliche Dateien im Browser inline gerendert werden, was zu Cross Site Scripting-Angriffen (XSS) führen kann ). Diese Eigenschaft ist die Liste der kommagetrennten MIME-Typen für Anhänge, die nicht inline im Browser gerendert werden. Wenn Sie beispielsweise text/html einschließen, werden HTML-Dateien als Anhänge auf den Client heruntergeladen und nicht inline im Browser angezeigt. Die ordnungsgemäße Verwaltung dieser Liste verhindert Cross Site Scripting-Angriffe.
- Alte Beschreibung: Wenn glide.ui.attachment.download_mime_types gefährliche Elemente wie text/html,image/svg,image/svg+xml,application/xml enthält, können gefährliche Dateien im Browser inline gerendert werden, was zu Cross Site Scripting-Angriffen (XSS) führen kann ). Diese Eigenschaft ist die Liste der kommagetrennten MIME-Typen für Anhänge, die nicht inline im Browser gerendert werden. Wenn Sie beispielsweise text/html einschließen, werden HTML-Dateien als Anhänge auf den Client heruntergeladen und nicht inline im Browser angezeigt. Die ordnungsgemäße Verwaltung dieser Liste verhindert Cross Site Scripting-Angriffe.
|
| HTML in Listenansichten codieren [Aktualisiert in Security Center 1.3 und 1.5] |
- Neue Beschreibung: Diese Eigenschaft hilft beim Bereinigen der Listenansicht, die HTML-Felder anzeigt. Wenn glide.ui.escape_html_list_field nicht auf den empfohlenen Wert „true“ festgelegt ist, kann ein böswilliger Benutzer HTML-Code im Formularfeld einschleusen, um unerwünschte Skripts in anderen Client-/Benutzersitzungen auszuführen. Dies kann potenziell von Angreifern genutzt werden, um Sitzungsinformationen und vertrauliche Daten zu stehlen.
- Alte Beschreibung: Die folgende Eigenschaft hilft beim Bereinigen der Listenansicht, die von HTML-Feldern angezeigt wird. Wenn glide.ui.escape_html_list_field nicht auf den empfohlenen Wert „true“ festgelegt ist, kann ein böswilliger Benutzer HTML-Code im Formularfeld einschleusen, um unerwünschte Skripts in anderen Client-/Benutzersitzungen auszuführen. Dies kann potenziell von Angreifern genutzt werden, um Sitzungsinformationen und vertrauliche Daten zu stehlen.
|
| E-Mail-Domänen für die Registrierung externer Anwender einschränken [Aktualisiert in Security Center 1.3, 1.5 und 2.0] |
- Neue Kurzbeschreibung: E-Mail-Domänen für Registrierung externer Anwender einschränken
- Alte Kurzbeschreibung: E-Mail-Domänen für Registrierung externer Anwender beschränken (Plugin-Anwendbarkeit: Registrierung externer Anwender)
- Neue Beschreibung: Die Eigenschaft sn_ext_usr_reg.allowed_email_domains definiert, welche E-Mail-Adressen sich bei einer ServiceNow-Instanz selbst registrieren dürfen. Wenn sn_ext_usr_reg.allowed_email_domains nicht mit einer Liste zulässiger Domänen festgelegt ist, können Benutzer mit einer beliebigen E-Mail-Adresse Konten in den Instanzen registrieren. Wenn dies nicht definiert ist, könnten böswillige Akteure die Registrierung mit E-Mail-Adressen aus unerwünschten Domänen durchführen, um sich authentifizierten Zugriff auf die Instanz zu verschaffen.
- Alte Beschreibung: Wenn sn_ext_usr_reg.allowed_email_domains nicht mit einer weißen Liste zulässiger Domänen festgelegt ist, könnten böswillige Akteure die Registrierung mit E-Mail-Adressen aus unerwünschten Domänen durchführen.
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Captcha für die Registrierung externer Anwender aktivieren [Aktualisiert in Security Center 1.3 und 1.5] |
- Neue Kurzbeschreibung: Captcha für die Registrierung externer Anwender aktivieren
- Alte Kurzbeschreibung: Captcha für die Registrierung externer Anwender aktivieren (Plugin-Anwendbarkeit: Registrierung externer Anwender)
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern
|
| Ablaufdauer des Links zur Registrierung externer Anwender minimieren [Aktualisiert in Security Center 1.3 und 1.5] |
- Neue Kurzbeschreibung: Ablaufdauer des Links für die Registrierung externer Anwender minimieren
- Alte Kurzbeschreibung: Ablaufdauer des Links für die Registrierung externer Anwender minimieren (Plugin-Anwendbarkeit: Registrierung externer Anwender)
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern
|
| Download infizierter Dateien nicht zulassen [Aktualisiert in Security Center 1.5 und 2.0] |
- Neue Kurzbeschreibung: Download infizierter Dateien nicht zulassen
- Alte Kurzbeschreibung: Download infizierter Dateien nicht zulassen
- Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft com.glide.snap.infected_download_allowed auf „falsch“ festgelegt ist.
- Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft com.glide.snap.infected_download_allowed auf „Wahr“ festgelegt ist.
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Validiert den Datei-MIME-Typ im SOAP-Webservice „AttachmentCreator“ [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Beschreibung: Wenn glide.attachment.enforce_security_validation nicht auf den empfohlenen Wert „wahr“ festgelegt ist, erfolgt keine Validierung für den MIME-Typ des Anhangs, und gefährliche Dateien könnten mit falschen Dateierweiterungen in das System hochgeladen werden. Wenn diese Eigenschaft auf „true“ festgelegt ist, werden Dateien mit der richtigen Dateierweiterung hochgeladen. Es gilt als bewährte Sicherheitsmethode, Datei-Uploads mindestens mit der MIME-Typvalidierung zu validieren.
- Alte Beschreibung: Wenn glide.attachment.enforce_security_validation nicht auf den empfohlenen Wert „Wahr“ festgelegt ist, erfolgt keine Validierung für den MIME-Typ des Anhangs, und gefährliche Dateien könnten mit falschen Dateierweiterungen in das System hochgeladen werden. Wenn diese Eigenschaft auf „true“ festgelegt ist, werden Dateien mit der richtigen Dateierweiterung hochgeladen. Es gilt als bewährte Sicherheitsmethode, Datei-Uploads mindestens mit der MIME-Typvalidierung zu validieren.
- Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.attachment.enforce_security_validation auf „wahr“ festgelegt ist.
- Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.attachment.enforce_security_validation auf „Wahr“ festgelegt ist.
|
| MultiSSO-Debugging deaktivieren [Aktualisiert in Security Center 1.3 und 1.5] |
- Neue Kurzbeschreibung: MultiSSO-Debugging deaktivieren
- Alte Kurzbeschreibung: MultiSSO-Debugging deaktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| Zulässige ServiceNow interne IP-Adressen definieren [Aktualisiert in Security Center 1.3 und 1.5] |
- Neuer Name der technischen Konfiguration: glide.ip.authenticate.strict
- Alter technischer Konfigurationsname: glide.ip.authenticate.strict,glide.ip.authenticate.allow.secured
- Neue Beschreibung: Wenn glide.ip.authenticate.strict auf „wahr“ festgelegt ist, können interne ServiceNow-Mitarbeiter und -Systeme nur eingehende Verbindungen zur Instanz aus wichtigen IP-Bereichen herstellen. Dadurch wird die Transparenz von ServiceNow in der Instanz auf wichtige interne Infrastrukturen beschränkt und der Zugriff durch breitere ServiceNow-Mitarbeiter wie Support- und Vertriebsmitarbeiter über Unternehmensnetzwerke verhindert. Bei Festlegung auf „wahr“ wird die Eigenschaft glide.ip.authenticate.allow verwendet, um eingehende interne ServiceNow-Verbindungen zu gewähren. Wenn dies nicht auf „wahr“ festgelegt ist, wird ein breiterer interner IP-Bereich von ServiceNow, wie in glide.ip.authenticate.allow definiert, verwendet, um eingehende ServiceNow-interne Verbindungen zu gewähren.
- Alte Beschreibung: Wenn glide.ip.authenticate.strict auf „wahr“ festgelegt ist, können nur die in glide.ip.authenticate.allow.secured angegebenen IP-Bereiche eingehende Verbindungen zur Instanz herstellen. Diese Eigenschaft enthält eine Liste nur der wichtigen internen ServiceNow-IP-Bereiche (sicheres VPN, DC). Wenn glide.ip.authenticate.allow.secured nicht auf den empfohlenen Wert oder die empfohlene Permutation "10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1" oder die neuere Werteliste "10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/ 21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1, ::1", wodurch Utah ein IPv6-Localhost hinzugefügt wird, dann sind möglicherweise nicht vertrauenswürdige Quellen außerhalb von SN DataCenter und zulässig sicheres VPN für den Zugriff auf sensible Überwachungsendpunkte in Instanzen.
- Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ip.authenticate.allow.secured nur vertrauenswürdige Werte enthält und dass die Eigenschaft glide.ip.authenticate.strict auf „wahr“ festgelegt ist.
- Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ip.authenticate.allow.secured nur Werte in „10.0.0.0/8“, „37.98.232.0/21“, „103.23.64.0/22“, „149.96.0.0/17“, „149.96.0.0/16“, „199.91.136.0/21“, „148.139“ enthält .0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1, ::1" und dass die Eigenschaft glide.ip.authenticate.strict auf „wahr“ festgelegt ist.
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Entitätserweiterung im XMLDocument2-Streaming-Parser deaktivieren [Aktualisiert in Security Center 1.5] |
- Neue Kurzbeschreibung: Deaktivieren Sie die Entitätserweiterung im XMLDocument2-Streaming-Parser
- Alte Kurzbeschreibung: Entitätserweiterung deaktivieren
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Domain Separation auf Dot-Walking-Felder anwenden [Aktualisiert in Security Center 1.3, 1.5 und 2.0] |
- Neue Kurzbeschreibung: Domain Separation auf Dot-Walking-Felder anwenden
- Alte Kurzbeschreibung: Domain Separation auf Dot-Walking-Felder anwenden (Plugin-Anwendbarkeit: Domain Separation)
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Berechtigungen für CMDB-Modell einschränken [Aktualisiert in Security Center 1.3 und 1.5] |
Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Löschen der Zwischenablage beim Ausführen einer mobilen Anwendung im Hintergrund anfordern [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Beschreibung: Die Eigenschaft glide.sg.clear_pasteboard_when_backgrounded steuert, ob Text, der aus der mobilen ServiceNow-App kopiert wurde, in der Zwischenablage beibehalten wird, nachdem die App im Hintergrundmodus ausgeführt wurde. Wenn sie nicht auf den empfohlenen Wert „true“ festgelegt ist, werden vertrauliche Informationen möglicherweise an die Android- oder iOS-Zwischenablage weitergegeben, wo sie anderen Anwendungen auf dem Gerät zur Verfügung stehen können.
- Alte Beschreibung: Die Eigenschaft glide.sg.clear_pasteboard_when_backgrounded steuert, ob Text, der aus der mobilen ServiceNow-App kopiert wurde, in der Zwischenablage beibehalten wird, nachdem die App nicht mehr im Fokus ist. Wenn sie nicht auf den empfohlenen Wert „true“ festgelegt ist, werden vertrauliche Informationen möglicherweise an die Android- oder iOS-Zwischenablage weitergegeben, wo sie anderen Anwendungen auf dem Gerät zur Verfügung stehen können.
|
| Accountwiederherstellung aktivieren [In Security Center 1.3 und 1.5aktualisiert] |
- Neue Kurzbeschreibung: Accountwiederherstellung aktivieren
- Alte Kurzbeschreibung: Accountwiederherstellung aktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| SQL-Fehlermeldungen deaktivieren [In Security Center 1.3 und 1.5 aktualisiert] |
- Neue Beschreibung: Wenn glide.db.loguser nicht auf den empfohlenen Wert „false“ festgelegt ist, können Endanwendern sensible serverseitige Fehlermeldungen angezeigt werden. Fehlermeldungen können Stack Traces und Informationen über die Struktur der Datenbank enthalten, die einem Angreifer das Wissen liefern könnten, das für eine erfolgreiche SQL-Injektion erforderlich ist, falls die Voraussetzungen erfüllt sind. Als Tiefenschutz dürfen diese Fehlermeldungen dem Endanwender nicht angezeigt werden.
- Alte Beschreibung: Wenn glide.db.loguser nicht auf den empfohlenen Wert „falsch“ festgelegt ist, können Endanwendern sensible serverseitige Fehlermeldungen angezeigt werden.
|
| Relative Links erzwingen [Aktualisiert in Security Center 1.3 und 1.5] |
- Neue Beschreibung: Die Eigenschaft glide.cms.catalog_uri_relative erzwingt relative Links vom URI-Parameter für /ess/catalog.do. Wenn glide.cms.catalog_uri_relative nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die URL nicht mit der Funktion „forceRelativeURL(url)“ bereinigt. Absolute URLs können ein Sicherheitsrisiko darstellen, wenn sie als Teil von Parametern oder Feldwerten verwendet werden und so die Quellseite auf eine von Angreifern kontrollierte Website umleiten. Diese Eigenschaft wirkt sich auf das veraltete Content-Management-System (CMS) aus, das durch das Serviceportal ersetzt wurde.
- Alte Beschreibung: Die Eigenschaft glide.cms.catalog_uri_relative erzwingt relative Links vom URI-Parameter für /ess/catalog.do. Wenn glide.cms.catalog_uri_relative nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die URL nicht mit der Funktion „forceRelativeURL(url)“ bereinigt. Absolute URLs können ein Sicherheitsrisiko darstellen, wenn sie als Teil von Parametern oder Feldwerten verwendet werden und so die Quellseite auf eine von Angreifern kontrollierte Website umleiten.
|
| Schwellenwert für die Entitätserweiterung für skriptfähiges GlideXMLUtil minimieren [Aktualisiert in Security Center 1.3, 1.5 und 2.0] |
- Neue Kurzbeschreibung: Schwellenwert für Entitätserweiterung für skriptfähiges GlideXMLUtil minimieren
- Alte Kurzbeschreibung: Schwellenwert für Entitätserweiterung minimieren
- Neue Beschreibung: Diese Eigenschaft steuert den maximalen Umfang der Entitätserweiterung in einem XML-Parser. Wenn glide.xmlutil.max_entity_expansion nicht auf den empfohlenen Wert von 3000 oder weniger festgelegt ist, ist der skriptfähige GlideXMLUtil-Parser möglicherweise angreifbar für Denial-of-Service-Angriffe.
- Alte Beschreibung: Diese Eigenschaft steuert den maximalen Umfang der Entitätserweiterung in einem XML-Parser. Wenn glide.xmlutil.max_entity_expansion nicht auf den empfohlenen Wert von maximal 3000 festgelegt ist, ist der XML-Parser möglicherweise angreifbar für Denial-of-Service-Angriffe.
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Verhalten der Vorgängerversion für die Umgrenzung des GlideRecord-Bereichs deaktivieren [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0] |
- Neue Beschreibung: GlideRecord gewährte bereichsübergreifenden Erstellungs-/Aktualisierungszugriff auf Tabellen, die nicht mit dieser Zugriffsebene konfiguriert wurden. Um zu verhindern, dass Anwendungen von Kunden beschädigt werden, wenn dieses bereichsbezogene Zugriffsverhalten gepatcht wurde, wurde die Eigenschaft glide.record.legacy_cross_scope_access_policy_in_script erstellt. Bei „wahr“ greift der bereichsübergreifende Zugriff auf das Legacy-Verhalten zurück (unsicher). Diese Eigenschaft deaktiviert Bereichsbegrenzung, sodass bereichsbezogene Apps auf globale Skriptschnittstellen zugreifen können. Es gilt als bewährte Sicherheitsmethode, mit Einschränkungen für das Bereichs-Fencing zu arbeiten. Durch die Umfangsdefinition wird sichergestellt, dass Anwendungen nur auf Ressourcen mit explizitem Zugriff oder innerhalb ihres Bereichs zugreifen können, und zwar gemäß dem Prinzip der geringsten Rechte (Least-Privilege-Prinzip). Das Deaktivieren dieser Funktion kann Auswirkungen auf Vertraulichkeit, Verfügbarkeit und Integrität haben.
- Alte Beschreibung: Legacy-Verhalten hat Erstellungs-/Aktualisierungszugriff auf Tabellen gewährt, die dies nicht zugelassen haben. Um zu verhindern, dass Anwendungen von Legacy-Kunden beschädigt werden, wenn dieses Verhalten beim bereichsbezogenen Zugriff gepatcht wurde, wurde die Eigenschaft glide.record.legacy_cross_scope_access_policy_in_script erstellt. Bei „wahr“ greift der bereichsübergreifende Zugriff auf das Legacy-Verhalten zurück (unsicher). Diese Eigenschaft deaktiviert Bereichsbegrenzung, sodass bereichsbezogene Apps auf globale Skriptschnittstellen zugreifen können. Es gilt als bewährte Sicherheitsmethode, mit Einschränkungen für das Bereichs-Fencing zu arbeiten. Durch die Umfangsdefinition wird sichergestellt, dass Anwendungen nur auf Ressourcen mit explizitem Zugriff oder innerhalb ihres Bereichs zugreifen können, und zwar gemäß dem Prinzip der geringsten Rechte (Least-Privilege-Prinzip). Das Deaktivieren dieser Funktion kann Auswirkungen auf Vertraulichkeit, Verfügbarkeit und Integrität haben.
|
| Aktualisierte Version des MultiSSO-Plugins aktivieren [In Security Center 1.3 und 1.5aktualisiert] |
- Neue Kurzbeschreibung: Aktualisierte Version des Multi-SSO-Plugins aktivieren
- Alte Kurzbeschreibung: Aktualisierte Version des Multi-SSO-Plugins aktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| SSL in der LDAP-Authentifizierung aktivieren [In Security Center 1.5 und 2.0 aktualisiert] |
Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Passwortzurücksetzung für API-Anforderungen erzwingen [Aktualisiert in Security Center 1.5] |
Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Passwortrichtlinie bei der Anmeldung nicht anwenden [In Security Center 1.5 aktualisiert und in 2.0 entfernt] |
-
Neue Beschreibung: Wenn die Eigenschaft glide.apply.password_policy.on_login auf „Falsch“ festgelegt ist, wird bei der Anmeldung keine Passwortkomplexität erzwungen. Wenn Sie die Eigenschaft auf „Wahr“ festlegen, wird die Passwortkomplexität erzwungen, was zu Problemen mit der Compliance mit Organisationsrichtlinien führt.
Gemäß den Empfehlungen für ASVS 4.03 v2.1.9:
Stellen Sie sicher, dass keine Passwortzusammensetzungsregeln den Typ der zulässigen Zeichen einschränken. Es dürfen keine Groß- oder Kleinbuchstaben oder Ziffern oder Sonderzeichen erforderlich sein. (C6)
Anstatt die Passwortkomplexität zu erzwingen, empfiehlt ASVS, eine Mindestlänge von 12 Zeichen für das Passwort zu erzwingen.
Referenz: OWASP ASVS v4.0-Authentifizierung
- Alte Beschreibung:
Wenn Sie die Eigenschaft glide.apply.password_policy.on_login auf „falsch“ festlegen, wird bei der Anmeldung keine Passwortkomplexität erzwungen. Wenn Sie die Eigenschaft auf „Wahr“ festlegen, wird die Passwortkomplexität erzwungen, was zu Problemen mit der Compliance mit Organisationsrichtlinien führt. Gemäß den Empfehlungen für ASVS 4.03 v2.1.9: Stellen Sie sicher, dass keine Passwortzusammensetzungsregeln den Typ der zulässigen Zeichen einschränken. Es dürfen keine Groß- oder Kleinbuchstaben oder Ziffern oder Sonderzeichen erforderlich sein. (C6) Anstatt die Passwortkomplexität zu erzwingen, empfiehlt ASVS, eine Mindestlänge von 12 Zeichen für das Passwort zu erzwingen. Referenz: OWASP ASVS v4.0-Authentifizierung
|
| Keine Demozertifikate für aktive SAML-Konfigurationen verwenden [Aktualisiert in Security Center 1.5] |
- Neue Kurzbeschreibung: Keine Demozertifikate für aktive SAML-Konfigurationen verwenden
- Alte Kurzbeschreibung: Keine Demozertifikate für aktive SAML-Konfigurationen verwenden (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| SAML-Dauer von „notBefore“ und „notOnOrAfter“ minimieren [Aktualisiert in Security Center 1.3 und 1.5] |
- Neue Kurzbeschreibung: SAML-Einschränkungsdauer für „notBefore“ oder „notOnOrAfter“ minimieren
- Alte Kurzbeschreibung: SAML-Einschränkungsdauer für „notBefore“ oder „notOnOrAfter“ minimieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| Abgelaufene Anti-CSRF-Token blockieren [in Security Center 1.5 aktualisiert] |
- Neue Kurzbeschreibung: Abgelaufene Anti-CSRF-Token blockieren
- Alte Kurzbeschreibung: Abgelaufene CSRF-Token des Blocks
|
| Captcha für Walk-Up Experience der Kundenservice-Anwendung für Gäste anfordern [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Kurzbeschreibung: Captcha für Walk-Up Experience für Gäste in der Kundenservice-Anwendung erforderlich
- Alte Kurzbeschreibung: Captcha für Walk-Up Experience für den Kundenservice in der Anwendung erforderlich (Plugin-Anwendbarkeit: Walk-Up Experience für den Kundenservice)
|
| Identitätswechsel bei ACL-Bewertung in HR-App überprüfen [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Kurzbeschreibung: Identitätswechsel bei ACL-Auswertung in HR-App überprüfen
- Alte Kurzbeschreibung: Identitätswechsel bei ACL-Bewertung in HR-App überprüfen (Plugin-Anwendbarkeit: Bereichsbezogene Human Resources-App)
|
| Aktualisierungen von HR-Fällen auf persönliche E-Mails beschränken [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Kurzbeschreibung: HR-Fallaktualisierungen aus persönlichen E-Mails beschränken
- Alte Kurzbeschreibung: HR-Fallaktualisierungen aus persönlichen E-Mails beschränken (Plugin-Anwendbarkeit: Bereichsbezogene App für Human Resources)
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| MID-Audit-Protokoll aktivieren [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Kurzbeschreibung: MID-Audit-Protokoll aktivieren
- Alte Kurzbeschreibung: MID-Audit-Protokoll aktivieren (Plugin-Anwendbarkeit: MID Server)
|
| Nutzung des Alias für Anmeldeinformationen erzwingen [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Kurzbeschreibung: Nutzung des Alias für Anmeldeinformationen erzwingen
- Alte Kurzbeschreibung: Nutzung des Alias für Anmeldeinformationen erzwingen (Plugin-Anwendbarkeit: MID Server)
|
| Erforderliche JMS-Verbindungsfactorys [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0] |
- Neue Kurzbeschreibung: Erforderliche JMS Connection Factory
- Alte Kurzbeschreibung: Erforderliche JMS Connection Factory (Plugin-Anwendbarkeit: MID Server)
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Anhangsgröße in Trainings- und Vorhersage-Flows begrenzen [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Kurzbeschreibung: Anhangsgröße in Trainings- und Vorhersage-Flows begrenzen
- Alte Kurzbeschreibung: Anhangsgröße in Trainings- und Vorhersage-Flows begrenzen (Plugin-Anwendbarkeit: Platform Document Intelligence)
|
| Sicherstellen, dass Archivtabellen-ACLs aktiviert sind [Neu in Security Center 1.3 und aktualisiert in 1.5] |
Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Audit-Ereignisse für Protokollsitzung [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Beschreibung: Wenn die Glide-Eigenschaft glide.authenticate.session_access.log_audit_event auf „wahr“ festgelegt ist, werden Audit-Ereignisse für Sitzungen in der Tabelle „sys_session_access_audit“ erstellt. Es empfiehlt sich, Informationen darüber zu protokollieren, wer auf eine Sitzung zugegriffen hat, um Untersuchungen böswilliger Akteure zu unterstützen. Zu den protokollierten Informationen gehören Anwender, Sitzungs-ID (nicht vertraulich), IP-Adresse, Rollen und Richtlinien.
- Alte Beschreibung: Wenn die Glide-Eigenschaft glide.authenticate.session_access.log_audit_event auf „wahr“ festgelegt ist, werden Audit-Ereignisse für Sitzungen in der Tabelle „sys_session_access_audit“ erstellt. Es empfiehlt sich, allgemeine Informationen über den Sitzungszugriff zu protokollieren, um Untersuchungen böswilliger Akteure zu unterstützen. Zu den protokollierten Informationen gehören Anwender, Sitzungs-ID (nicht vertraulich), IP-Adresse, Rollen und Richtlinien.
|
| Bereichsbezogenen ACL-Zugriff für Playbooks zur Informationsanforderung erzwingen [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Kurzbeschreibung: Bereichsbezogenen ACL-Zugriff für Playbooks zur Informationsanforderung erzwingen
- Alte Kurzbeschreibung: Bereichsbezogenen ACL-Zugriff für Playbooks zur Informationsanforderung erzwingen
- Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Inaktive Sitzungen proaktiv für ungültig erklären [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0] |
- Neue Beschreibung: Die Glide-Eigenschaft glide.active.session.timeout.invalidate.session steuert, ob eine Sitzung mit Zeitüberschreitung proaktiv für ungültig erklärt wird, bevor der Tomcat-Container die Sitzung für ungültig erklärt. Wenn diese Eigenschaft nicht auf „wahr“ festgelegt ist, kann es ein kurzes Zeitintervall geben, in dem eine Sitzung mit Zeitüberschreitung nicht für ungültig erklärt wird (mehr als 60 Sekunden, abhängig von der Warteschlangengröße). Wenn eine Sitzung gekapert wird, kann ein Angreifer während dieses kurzen Zeitraums möglicherweise die Sitzung nutzen.
- Alte Beschreibung: Die Glide-Eigenschaft glide.active.session.timeout.invalidate.session steuert, ob eine Timeout-Sitzung vor dem Tomcat-Container proaktiv für ungültig erklärt wird. Wenn diese Eigenschaft nicht auf „wahr“ festgelegt ist, kann es ein kurzes Zeitintervall geben, in dem eine Sitzung mit Zeitüberschreitung nicht für ungültig erklärt wird (mehr als 60 Sekunden, abhängig von der Warteschlangengröße). Wenn eine Sitzung gekapert wird, kann ein Angreifer während dieses kurzen Zeitraums möglicherweise die Sitzung nutzen.
|
| Größe des HTTP-Antworttexts begrenzen [Neu in Security Center 1.3 und aktualisiert in 1.5] |
- Neue Kurzbeschreibung: Größe des HTTP-Antworttexts begrenzen
- Alte Kurzbeschreibung: Stellt sicher, dass HTTP-Antworten aufgrund der Größe des Antworttexts keine „OutofMemory“-Ausnahme auslösen
|