許可リストのパッケージコールの確認 (インスタンスセキュリティ強化)
必要に応じて、[sys_whitelist_package] テーブルから包含リストのパッケージコールエントリを確認し、削除します。
パッケージコールエントリは、サーバー側の Java リソースにアクセスして、適切な検証なしでアプリケーションベースの操作を実行できます。顧客データの不正な開示や改ざんを引き起こす可能性があるため、これはセキュリティ上の重大な問題になります。
詳細情報
| 属性 | 説明 |
|---|---|
| テーブル名 | sys_whitelist_package 注: 最近のリリースでは、カスタマーサービス & サポート のみがこのテーブルにアクセスできます。管理者でもアクセスできません。 |
| 構成タイプ | テーブル |
| Instance Security Center での構成 | あり |
| 目的 | このテーブルのエントリを確認して削除すること。 |
| 推奨値 | テーブルにはレコードが存在しないようにしてください (リストは空である必要があります)。 |
| 機能への影響度 | (低) パッケージコール削除ツールの実行結果を確認および承認しているかぎり、影響はありません。 インスタンスが確実に正しく機能するようにするには、本番環境に展開する前に非本番環境でテストします。詳細については、「パッケージコール削除ツール 」を参照してください。 |
| セキュリティリスク | (高) サーバー上のデータ取得またはオブジェクトアクセスという結果になるクライアント側 API 呼び出しは、セキュリティの観点から危険であると見なされます。機密オブジェクトへのアクセスを許可および制限するために、これらのアイテムを検証してください。 |
| ワークアラウンド | ServiceNow サポートにお問い合わせください。 |
設定手順
- パッケージ コール削除ツールプラグインをアクティブにします。詳細は、「パッケージコール削除ツール」を参照してください。
- フィルターナビゲーターを使用して、[パッケージコール削除ユーティリティ] に移動します。
- (1) ~ (4) の各スクリプトをクリックします。出力を待ってから、次の出力に進みます。
- スクリプト (4) を実行すると、影響を受けるフィールドのリストが [パッケージコールアイテム] ページに表示されます。
- [提案済み] および [エラー] セクションのすべてのアイテムを解決します。注:このツールは、
sa_mapping_ext_commandsおよびsa_custom_operationで使用されるいくつかのパッケージコールを報告する場合があります。これらのパッケージコールは MID Server に属します。クラスがないため、コードは MID Server で実行されます。[エラー] セクションで次のパッケージコールを見つけた場合は、[却下] (無視) としてマークします。ツールは、そのパッケージコールを再度報告しません。Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content);Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name);Packages.com.snc.sw.commands.HttpCallHandler;Packages.com.snc.sw.dto.ProviderType.SSH
- 詳細な修正については、ServiceNow サポートにお問い合わせください。