• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.jquery.legacy » n’est pas défini sur la valeur recommandée « faux », les anciennes versions de JQuery prédéfinies sont utilisées, ce qui introduit des vulnérabilités non corrigées dans la bibliothèque. Si la valeur est false, intègre les correctifs de sécurité JQuery 1.12.3 et 2.2.3. La propriété système est une sécurité au cas où des organisations dépendent des versions non corrigées d’AngularJS pour exécuter leurs implémentations personnalisées.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela peut entraîner des risques de sécurité découlant des attaques sur les vulnérabilités détectées dans les versions obsolètes de la bibliothèque JQuery.

Script de règle mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « com.glide.snap.enable_scan » n’est pas défini sur la valeur recommandée « vrai », Antivirus Scanning est désactivé.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs peuvent télécharger des fichiers malveillants menant à une compromission du bureau et de la session.

• Description
  • (Ancien)

    Contrôlez le délai d’expiration de session inactive pour les utilisateurs non authentifiés avec la propriété système « glide.guest.session_timeout ». Augmentez la valeur de cette propriété pour prolonger la période pendant laquelle votre instance conserve les sessions au-delà de la valeur par défaut de 30 minutes. Évitez les valeurs de délai d’expiration trop élevées, qui peuvent augmenter le nombre de sessions conservées par l’instance et entraîner des problèmes mineurs de disponibilité.

  • (Nouveau)

    Utilisez la propriété système glide.guest.session_timeout pour contrôler le délai d’expiration de session inactive pour les utilisateurs non authentifiés. Par défaut, la valeur de cette propriété est de 30 minutes. Si la persistance d’un trop grand nombre de sessions en mémoire pose des problèmes de disponibilité, la valeur de cette propriété peut être abaissée à 5. Évitez de définir cette propriété au-delà de 30, car des valeurs de délai d’expiration élevées augmentent le nombre de sessions conservées par l’instance et peuvent entraîner des problèmes mineurs de disponibilité.

• Correction
  • (Ancien)

    Assurez-vous que la propriété Glide « glide.guest.session_timeout » est définie sur une valeur par défaut de 30. Il peut être souhaitable de baisser cette valeur à 5 dans de rares cas de problèmes de disponibilité sur l’instance.

  • (Nouveau)

    Assurez-vous que la propriété Glide « glide.guest.session_timeout » est configurée avec la valeur par défaut de 30. Dans les rares cas où il y a des problèmes de disponibilité dus à la persistance d’un trop grand nombre de sessions en mémoire, la valeur de cette propriété peut être abaissée à 5.

• Risque de sécurité
  • (Ancien)

    Des valeurs de délai d’expiration élevées peuvent augmenter le nombre de sessions simultanées sur votre instance, entraînant des problèmes mineurs de disponibilité.

  • (Nouveau)

    Évitez de définir cette propriété au-delà de 30. Les valeurs de délai d’expiration élevées augmentent le nombre de sessions conservées par l’instance et peuvent entraîner des problèmes mineurs de disponibilité.

• Impact fonctionnel
  • (Ancien)

    De petites valeurs de délai d'expiration peuvent rendre l'expérience utilisateur indésirable, car les sessions expirent trop rapidement.

  • (Nouveau)

    De petites valeurs de délai d'expiration peuvent rendre l'expérience utilisateur indésirable, car les sessions expirent trop rapidement. Si la persistance d’un trop grand nombre de sessions en mémoire pose des problèmes de disponibilité, la valeur de cette propriété peut être abaissée à 5.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.basicauth.required.databrokerrestapiprocessor » n’est pas définie sur la valeur conseillée « vrai », l’autorisation de base n’est alors pas requise pour toutes les demandes API REST du courtier de données.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela peut entraîner une divulgation d’informations non authentifiées de l’instance.

• Brève description
  • (Ancien)

    Configurer les rôles administrateur du groupe d’affectation de la gestion des événements

  • (Nouveau)

    Configurer les rôles administrateur du groupe d'affectation de gestion des événements

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété Glide « evt_mgmt.connector_assignment_group_admin_roles » contient une chaîne séparée par des virgules indiquant les noms de rôle qui ont un accès administrateur sur le champ Groupe d’affectation dans les instances de connecteur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    La modification des rôles par défaut dans cette liste peut amener les utilisateurs non autorisés à modifier les intégrations d’événements sur l’instance.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Le changement des rôles par défaut dans cette liste peut empêcher les utilisateurs précédemment autorisés de modifier les intégrations d’événements sur l’instance.

• Dépendances et prérequis
  • (Ancien) <vide>
  • (Nouveau)

    Application : gestion des événements

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Chaîne

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    admin,evt_mgmt_admin,sn_sow_srm.srm_admin

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété suivante est responsable de l’implémentation d’une vérification des ACL de report_view pour les rapports publiés. Si la propriété « glide.report.report_view.check_published » n’est pas définie sur la valeur conseillée « vrai », la vérification des ACL de report_view pour les rapports publiés est désactivée.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela peut potentiellement divulguer des données sensibles à des utilisateurs non authentifiés.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le processeur AjaxEvaluator exécute ces scripts dans le bac à sable, mais il existe plusieurs propriétés supplémentaires qui peuvent permettre de développer ou de désactiver entièrement le champ d’application des activités dans le bac à sable. Dans le pire des cas, un utilisateur peut facilement exécuter des scripts avec un privilège d’administrateur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.script.allow.ajaxevaluate » n’est pas définie sur la valeur conseillée « faux », l’API système peut être vulnérable à l’exécution du script client via les appels AJAX.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « password_reset.verification.delay » n’est pas définie sur la valeur conseillée de « 1 000 » ou plus, les codes de vérification de réinitialisation du mot de passe sont susceptibles de subir des attaques par force brute.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Le délai en millisecondes limite la capacité d’un acteur malveillant à tenter de deviner les détails d’identification ou de vérification des utilisateurs, en utilisant des outils d’automatisation (« bots »).

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « glide.authenticate.only.allow.active.user.login » n’est pas définie sur « vrai », les utilisateurs de la table sys_user marqués comme inactifs peuvent toujours se connecter à l’instance. Les utilisateurs peuvent être marqués comme inactifs s’ils n’ont plus l’autorisation de se connecter (par exemple, lors du départ d’une société).

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs inactifs peuvent toujours accéder à l’instance et à toutes les données auxquelles ils pouvaient accéder précédemment.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le module d’extension de haute sécurité, activé par défaut, crée plus de 900 configurations différentes pour contrôler le niveau de sécurité de votre instance. Ces configurations permettent un contrôle d’accès strict, la validation d’entrée et l’encodage de sortie. Elle sépare la fonctionnalité utilisateur de la fonctionnalité de gestion du contrôle d’accès en exigeant des administrateurs qu’ils s’élèvent explicitement au rôle « security_admin » avant d’effectuer des modifications au contrôle d’accès.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les parties critiques de l’instance peuvent être exposées à un accès non autorisé ou à une manipulation.

• Brève description
  • (Ancien)

    Module d'extension pour Limite de sessions simultanées

  • (Nouveau)

    Activer le module d’extension Limite de sessions simultanées

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le module d’extension Limite de sessions simultanées (com.glide.limit.concurrent.sessions) permet à un administrateur de limiter le nombre de sessions actives par utilisateur/rôle. Il est recommandé d’activer et de configurer ce module d’extension pour réduire la probabilité de détournement de session. Si ce module d’extension est activé et configuré, il y aura une limite au nombre de sessions ouvertes qui peuvent être détournées.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un nombre plus élevé de sessions simultanées actives crée un risque de sécurité en augmentant la surface d’attaque pour la compromission des comptes, ce qui rend plus difficile la détection des accès non autorisés et l’application de la responsabilité de session sur tous les appareils et emplacements.

• Applicabilité du module d’extension
  • (Ancien)

    Module d'extension pour Limite de sessions simultanées

  • (Nouveau) <vide>

• Brève description
  • (Ancien)

    Invalider de manière proactive les sessions inactives

  • (Nouveau)

    Invalider de manière proactive les sessions après des durées définies

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque glide.active.session.timeout.invalidate.session n’est pas défini sur vrai, il existe un petit intervalle de temps où une session expirée n’est pas invalidée de manière proactive avant que le conteneur Tomcat n’invalide la session. La durée de cet intervalle de temps dépend de propriétés supplémentaires représentant différents cas d’utilisation. glide.ui.active.session.life_span : la valeur de cette propriété définit la durée, en minutes, avant qu’une session d’interface utilisateur ne soit invalidée. glide.guest.active.session.life_span : la valeur de cette propriété définit la durée, en minutes, avant qu’une session d’invité ne soit invalidée. glide.integrations.active.session.life_span : la valeur de cette propriété définit la durée, en minutes, avant qu’une session d’intégration ne soit invalidée.

• Correction
  • (Ancien)

    Assurez-vous que la propriété Glide « glide.active.session.timeout.invalidate.session » existe et qu’elle est définie sur la valeur « vrai ». Si la propriété n’apparaît pas dans la table sys_properties, ajoutez un nouvel enregistrement.

  • (Nouveau)

    Assurez-vous que la propriété « glide.active.session.timeout.invalidate.session » est définie sur vrai.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si une session est détournée, un attaquant peut être en mesure d’utiliser une session pendant cette courte période.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le module d’extension Zero Trust - Policy Based Session Access permet aux administrateurs de sécurité de réduire l’accès des utilisateurs dans une session en fonction de l’adresse IP, de l’emplacement, des attributs du fournisseur d’identité et des attributs de l’utilisateur à l’aide de politiques d’authentification adaptatives. Lorsque cette propriété est activée (définie sur « vrai »), les rôles des utilisateurs qui se connectent via un équipement mobile sont restreints, tel que configuré par les politiques du module d’extension.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les administrateurs d’instance peuvent souhaiter restreindre l’accès avec des privilèges élevés lorsque les utilisateurs se connectent via un équipement mobile, ce qui peut indiquer un environnement dangereux pour des opérations sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsqu’ils sont définis sur « vrai », les règles/filtres de sn_query_rule table sont utilisés pour déterminer l’accès en lecture aux tables liées à Gestion des services sur site (commande de travaux et tâche de commande de travaux) pour l’utilisateur connecté via les règles métier des requêtes et les ACL en lecture. Si la valeur est « faux », les enregistrements ne sont pas filtrés en fonction des règles de requête. Interroger l’entreprise

    Les règles ajoutent des validations de sécurité supplémentaires. Plus précisément, cette propriété filtre les enregistrements pour les agents, les qualificateurs et les répartiteurs en fonction du territoire qui leur est affecté ou de l’appartenance à un territoire. Il est recommandé de suivre le principe du moindre privilège lors de la lecture des documents.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Il peut y avoir un risque accru d’exposition des données des tables Gestion des services sur site.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.db.loguser » n’est pas défini sur la valeur recommandée « faux », des messages d’erreur sensibles côté serveur peuvent être affichés aux utilisateurs finaux. Les messages d’erreur peuvent inclure des traces de pile et des informations sur la structure de la base de données qui pourraient fournir à un attaquant les connaissances nécessaires pour effectuer une injection SQL réussie si les conditions préalables sont réunies.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les messages peuvent inclure des traces de pile et des détails sur la structure de la base de données, que les attaquants peuvent exploiter pour élaborer des attaques par injection SQL ciblées en cas d’autres vulnérabilités. L’exposition d’informations sur les erreurs internes augmente le risque d’exploitation.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez la propriété Glide com.glide.soap.guest_user pour contrôler le niveau d’accès des demandes SOAP non authentifiées. Si cette propriété n’est pas définie sur la valeur recommandée de soap.guest ou est définie sur un utilisateur avec des privilèges limités, les demandes SOAP s’exécutent alors au nom de cet utilisateur.

• Correction
  • (Ancien)

    Assurez-vous que la propriété « com.glide.soap.guest_user » est définie sur « soap.guest ».

  • (Nouveau)

    Assurez-vous que la propriété est définie sur soap.guest pour garantir un niveau d’accès approprié pour les demandes SOAP non authentifiées.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les demandes SOAP non authentifiées peuvent autoriser un accès non autorisé si elles ne sont pas correctement restreintes. L’évaluation de ces demandes par rapport à un utilisateur disposant de privilèges minimaux permet de réduire le risque d’exposition d’opérations sensibles. L’échec de l’application de ce contrôle peut entraîner une élévation des accès et compromettre l’intégrité du système.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Les demandes SOAP sont limitées aux autorisations de l’utilisateur soap.guest. Si une intégration s’appuie sur une ressource qui ne dispose pas des ACL appropriées pour soap.guest, ces demandes entraînent des refus d’autorisation.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Chaîne d’ID d’utilisateur (user_name) d’un utilisateur dans la table sys_user

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    soap.guest

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle les instanciateurs de connexions de Service de messagerie Java (JMS) que le serveur MID peut utiliser. Il est destiné à quelques instanciateurs sélectionnés requis par les modules d’extension pour l’activité ou l’action JMS. L’inclusion d’usines supplémentaires pourrait être une étape dans une chaîne d’attaque pour des vulnérabilités telles que l’insertion JNDI qui reposent sur les capacités qu’un attaquant peut exploiter dans les usines autorisées. Pour éviter toute possibilité d’exploitation de vulnérabilité, n’incluez pas les usines au-delà des valeurs par défaut nécessaires.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’extension de l’ensemble des instanciateurs de connexions Java Messaging Service (JMS) au-delà des valeurs par défaut nécessaires introduit un risque important, car elle augmente la surface d’attaque pour les techniques d’exploitation telles que l’injection JNDI. Autoriser des usines supplémentaires peut permettre aux attaquants d’exploiter des configurations non sécurisées ou des vulnérabilités dans les composants de messagerie dans le cadre d’une chaîne d’attaque plus large, conduisant potentiellement à l’exécution de code à distance ou à la compromission du système. Limiter les usines à celles requises par les fonctionnalités de base est essentiel pour maintenir une posture sûre.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.sg.blur_ui_when_backgrounded » n’est pas défini sur la valeur recommandée « vrai », l’interface utilisateur de l’application Mobile est alors visible lorsqu’elle est affichée à partir du commutateur d’application une fois que l’application a été mise en arrière-plan.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Le floutage des captures d’écran mobiles en arrière-plan offre un niveau plus élevé de confidentialité et d’intimité sur l’appareil local en floutant cette vue lorsqu’elle est en arrière-plan.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « glide.sg.device_encryption_enabled » est définie sur vrai, l’application mobile ServiceNow vérifie que le chiffrement de l’appareil est activé et que le code d’accès de l’appareil est activé. Si le chiffrement ou le code d’accès n’est pas activé, l’utilisateur ne sera pas autorisé à se connecter à l’instance sur mobile. Cette propriété applique le chiffrement FIPS 140-2. Le chiffrement et le code d’accès des appareils mobiles sont des dispositifs de sécurité importants pour garantir qu’un utilisateur non autorisé ne peut pas accéder au contenu de l’appareil, même si l’appareil est physiquement en sa possession.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela crée un risque que les données sensibles stockées ou accessibles via l’application mobile soient exposées si l’appareil est perdu, volé ou compromis. Sans chiffrement ni application de code d’accès, les utilisateurs non autorisés peuvent accéder physiquement aux informations confidentielles, ce qui compromet la conformité à la norme FIPS 140-2 et affaiblit la protection globale des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « com.glide.security.protected_table.enabled » est définie sur « vrai », le module d’extension Tables protégées est utilisé pour empêcher les utilisateurs avec des privilèges plus élevés sur une instance d’altérer les tables de journal. Les tables de journalisation suivantes bénéficient de protections spéciales lorsque cette propriété est définie sur « vrai » : syslog (configuration non modifiable) syslog_transaction sys_outbound_http_log sysevent sys_audit sys_push_notification protected_table_configuration (configuration non modifiable) syslog_app_scope

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’intégrité du journal doit être préservée pour permettre la découverte d’activités malveillantes.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « glide.report.report_view.read_acl », lorsqu’elle est définie sur « appliquer », applique l’ACL LECTURE (niveau de table) aux fonctions de génération de rapports lorsqu’il n’y a pas d’ACL de vue de rapport dans la table/le champ.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les ACL peuvent être contournées, ce qui peut entraîner la divulgation d’informations sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Les méthodes « gs.addErrorMessageNoSanitizationMessaging() » et « gs.addInfoMessageNoSanitization() » sont utilisées dans l’environnement de scripting pour la connexion et les notifications. Ces deux éléments sont disponibles dans le bac à sable si cette propriété n’est pas définie sur la valeur recommandée « faux ». Le bac à sable (sandbox) est un environnement de script avec peu de privilèges accessible aux utilisateurs non authentifiés et sans rôle. Ces deux méthodes peuvent être utilisées pour afficher une entrée non expurgée à un utilisateur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’affichage d’une entrée non expurgée à l’utilisateur est dangereux, car une entrée non expurgée peut contenir du code dangereux qui s’exécute dans le navigateur de l’utilisateur. Cela peut être utilisé pour les attaques XSS réfléchies traditionnelles. Les attaques XSS réfléchies peuvent être utilisées dans plusieurs scénarios, y compris le détournement de session.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété « password_reset.sms.use_notify » contrôle l’utilisation de la notification de code par SMS pour l’inscription et la vérification. Si la propriété « password_reset.sms.use_notify » est définie sur la valeur conseillée « vrai », l’utilisateur est averti de la réinitialisation du mot de passe pour la méthode de vérification par SMS et l’inscription du nouvel appareil. Utilisant

    La notification de code par SMS pour l’inscription et la vérification est plus sécurisée que la notification par e-mail par défaut.

• Correction
  • (Ancien)

    Assurez-vous que la propriété « password_reset.sms.expiry » est définie sur « vrai ».

  • (Nouveau)

    Assurez-vous que la propriété « password_reset.sms.use_notify » est définie sur « vrai ».

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les notifications par e-mail sont généralement moins sécurisées, car elles sont plus susceptibles de compromettre les comptes et d’être victimes d’attaques de phishing. L’utilisation de SMS pour la vérification fournit une meilleure assurance de l’identité de l’utilisateur et réduit le risque de réinitialisation non autorisée du mot de passe ou d’inscriptions frauduleuses d’appareils.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Les certificats de démonstration fournis par ServiceNow ne doivent pas être utilisés dans les configurations SAML de production. Les certificats sont communs à toutes les instances avec phrase de sécurité connue. Si l’une des propriétés SAML utilisant un magasin de clés de certificat est active (require_signed_authnrequest, require_signed_logoutrequest ou encrypt_assertion), les données de démonstration ne doivent pas être utilisées. Étant donné que les données de démonstration sont partagées entre toutes les instances, il n’y a aucune garantie d’intégrité des demandes signées avec des certificats partagés.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les messages chiffrés par l’IDP peuvent être déchiffrés par n’importe quel acteur, s’ils sont interceptés.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « glide.authenticate.multifactor.email.otp.enabled » contrôle si un jeton pour le deuxième facteur d’authentification peut être envoyé par e-mail. L’e-mail est considéré comme un facteur MFA faible auquel un attaquant est plus susceptible d’accéder pour vaincre la MFA. Si la propriété est fausse : 1. L’utilisateur ne voit pas l’option OTP par e-mail sur l’écran de validation MFA. Si la propriété est vraie :

    2. Le facteur d’e-mail est affiché dans les cas où la politique de facteur d’e-mail est inactive et qu’aucun autre 2fa n’est enregistré. 3. Le facteur d’e-mail est affiché si la politique de facteur d’e-mail est active et évaluée comme vraie. 4. Le facteur d’e-mail n’est pas affiché si la politique de facteur d’e-mail est active et évaluée comme fausse.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un attaquant peut contourner avec succès la MFA lorsqu’il dispose du mot de passe de l’utilisateur.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    UserCookie v3 est généré uniquement lorsque la glide.ui.secure.cookies.use_kmf de propriété est désactivée. UserCookie v3 n’est pas sécurisé en raison du stockage de la clé secrète pour HMAC dans le code source et identique pour tous les clients. En définissant la propriété « glide.ui.secure.cookies.use_kmf » sur « vrai », UserCookie v3.1 sera utilisé et la clé secrète sera stockée dans un stockage de sécurité tel que KMF.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela crée un risque important de détournement de session, car les attaquants qui obtiennent ou désossent la clé peuvent falsifier des cookies d’authentification et usurper l’identité des utilisateurs.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété permet à un client d’activer ou de désactiver la protection contre l’interpolation spécifiquement pour les expressions Jelly imbriquées. La protection contre l’interpolation garantit que lorsque des expressions Jelly sont utilisées dans JavaScript, elles doivent être considérées comme sûres en entrant dans certaines catégories OU en étant marquées comme SAFE dans l’expression elle-même. Cette propriété a été ajoutée pour protéger contre les expressions Jelly potentiellement dangereuses qui sont imbriquées dans une autre expression Jelly.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une expression Jelly interpolée non protégée peut entraîner l’envoi par un acteur malveillant d’un paramètre GET créé à une page Jelly et entraîner l’évaluation du contenu de ce paramètre en tant que JavaScript côté serveur avec des privilèges d’administrateur.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Booléen

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    VRAI

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété échappe les valeurs XML au niveau de l’analyseur pour l’interface utilisateur. Il empêche les attaques de script de site à site réfléchies et stockées. Cette propriété n’est pas applicable dans Portail de services.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.ui.escape_text » n’est pas défini sur la valeur recommandée « true », les valeurs XML ne seront pas échappées au niveau de l’analyseur pour l’interface utilisateur ; Les modèles Jelly sont ainsi susceptibles de faire l’objet d’attaques de script de site à site réfléchies et stockées.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    GlideRecord a fourni un accès de création/mise à jour inter-périmètre aux tables qui n’ont pas été configurées avec ce niveau d’accès. Afin d’éviter que les applications des clients ne soient interrompues lors de la correction de ce comportement d’accès inclus dans le périmètre, le glide.record.legacy_cross_scope_access_policy_in_script de propriété a été créé. Lorsque la valeur est « vrai », l’accès entre périmètres revient au comportement hérité (non sécurisé). Cette propriété désactive la clôture des périmètres, ce qui permet aux applications incluses dans le périmètre d’accéder aux interfaces de script globales.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Il est recommandé d’avoir des restrictions de clôture de champ d’application en place. La définition du périmètre garantit que les applications ne peuvent accéder aux ressources qu’avec un accès explicite ou dans leur champ d’application, conformément au principe du moindre privilège. La désactivation de cette fonctionnalité peut avoir des impacts sur la confidentialité, la disponibilité et l’intégrité.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle la case à cocher Se souvenir de moi de la page de connexion pour empêcher la mise en cache des informations de connexion lorsqu’elles sont définies sur vrai. Si la valeur est définie sur faux, la mise en cache des informations d’authentification est autorisée et la case « Se souvenir de moi » s’affiche.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela augmente le risque d’accès non autorisé si l’appareil est partagé, perdu ou compromis, car les informations d’identification mises en cache peuvent permettre aux attaquants de contourner l’authentification.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle le protocole de chiffrement de transport souhaité. Si la propriété « glide.glide.outbound.sslv3.disabled » n’est pas définie sur la valeur conseillée, « vrai », les connexions sortantes du serveur MID telles que les demandes REST et SOAP utilisent SSL comme protocole de transport. SSL s’est avéré non sécurisé en 2014.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    SSLv3 s’est avéré non sécurisé depuis 2014 en raison de vulnérabilités telles que POODLE, ce qui le rend vulnérable aux attaques de l’homme du milieu et à l’interception de données. L’autorisation de SSLv3 sape le chiffrement du transport et expose les données sensibles en transit, violant ainsi les normes de sécurité modernes.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Un administrateur peut définir une propriété d’e-mail pour créer automatiquement des utilisateurs à partir d’e-mails entrants. Si cette propriété est définie sur la valeur non sécurisée, l’instance crée automatiquement des utilisateurs à partir de l’e-mail entrant. Chaque utilisateur créé aura le même mot de passe codé en dur par défaut, ce qui facilite le contournement de l’authentification par force brute.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Autoriser la création automatique d’utilisateurs sans contrôles de mots de passe forts sape la sécurité de l’authentification et augmente la probabilité de compromission du système.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété indique le nombre maximal de destinataires que l’instance peut répertorier dans la ligne À : pour une notification par e-mail unique. Les notifications qui dépassent cette limite créent plutôt des notifications par e-mail en double adressées à un sous-ensemble de la liste des destinataires. Chaque notification par e-mail a le même nombre maximal de destinataires.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela peut entraîner l’épuisement des ressources et potentiellement provoquer une condition de déni de service (DoS) sur le sous-système de messagerie ou l’instance elle-même. Limiter le nombre de destinataires est essentiel pour prévenir les abus et maintenir les performances et la disponibilité du système.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez la propriété glide.enable.password_policy pour personnaliser les règles de validation du niveau de sécurité du mot de passe pour le formulaire Changement du mot de passe. Personnalisez les valeurs de longueur et de complexité pour qu’elles correspondent à la politique de sécurité de votre organisation. Si « glide.enable.password_policy » n’est pas défini sur la valeur recommandée « vrai », les normes de mot de passe ne sont pas appliquées.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’application de la complexité des mots de passe est essentielle pour maintenir une authentification forte et réduire l’exposition à la prise de contrôle de compte.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « glide.sg.clear_pasteboard_when_backgrounded » contrôle si le texte copié à partir de l’application mobile ServiceNow est conservé dans le presse-papiers une fois que l’application n’est plus en mode arrière-plan.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela crée un risque de divulgation d’informations sensibles, car les données du presse-papiers peuvent être consultées par d’autres applications sur l’appareil, exposant potentiellement les informations d’identification, les informations d’identification personnelles ou des données professionnelles confidentielles. L’application de cette propriété permet d’éviter les fuites de données involontaires entre les applications.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété est un contrôle d’accès supplémentaire au modèle CMDB. Si la propriété « csm_cmdb_model.customer_visible_flag » n’est pas définie sur la valeur conseillée « vrai », tout utilisateur disposant du rôle sn_esm_user et des ACL prêtes à l’emploi a alors les autorisations nécessaires pour le modèle CMDB. Notez que ce rôle a tendance à être accordé aux utilisateurs externes.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs externes pourraient sans le vouloir recevoir des autorisations pour le modèle CMDB.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.ui.security.codetag.allow_script » n’est pas défini sur la valeur recommandée « faux », cette propriété autorise le rendu HTML dans les champs de journal et les formulaires, ce qui ouvre la voie à des attaques XSS. Le code HTML malveillant doit être placé entre les balises de code, par exemple [code][/code].

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Risques JavaScript non contrôlés Attaques de script de site à site (XSS), permettant aux acteurs malveillants d’injecter et d’exécuter des scripts nuisibles dans le navigateur de l’utilisateur. De tels

    Les attaques peuvent entraîner le détournement de session, le vol d’informations d’identification et la compromission de données sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.security.diag_txns_acl » n’est pas défini sur la valeur recommandée « vrai », tous les utilisateurs (authentifiés ou non) ont alors accès aux pages de diagnostic telles que les pages stats.do, xmlstats.do, threads.do et replication.do. Ces points de terminaison sont destinés à être utilisés pour surveiller l’intégrité de l’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les informations exposées par les points de terminaison de surveillance des performances peuvent être utiles aux attaquants.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété Glide « glide.service_portal.widget.table_allow_list » contient la liste des tables auxquelles les utilisateurs non authentifiés peuvent accéder via les widgets du portail de services qui utilisent les contrôles de sécurité supplémentaires fournis dans l’include de script SNCACLWidgetUtil. Cette propriété n’est appliquée que si la propriété Glide « glide.service_portal.widget.enforce_public_check » est « vrai ». Il peut y avoir divulgation d’informations non authentifiées si des tables inutiles sont répertoriées dans cette propriété. Les ACL de table seront toujours évaluées comme précédemment.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs non authentifiés peuvent accéder à des données sensibles via les widgets du portail de services, ce qui peut entraîner la divulgation d’informations malgré les ACL de table existantes.

• Valeur de secours
  • (Ancien) <vide>
  • (Nouveau)

    ''

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Les ACL sont évaluées de façon cumulative. S’il existe un certain nombre d’ACL sur un champ donné et que l’option Remplacements administrateur est définie sur faux (non sélectionné), les remplacements administrateur effectifs pour toutes les ACL sont considérés comme faux. Les administrateurs ne peuvent donc même pas transmettre l’ACL où le remplacement doit être effectué. Si « glide.security.admin.override.accessterm » n’est pas défini sur la valeur recommandée « vrai », alors, même si l’un des termes ACL de la règle ACL est « Remplacement administrateur » faux, l’ensemble de la règle est évalué sur faux.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les ACL avec des paramètres « Remplacements administrateur » en conflit peuvent cumulativement être évaluées sur faux, empêchant potentiellement les administrateurs d’accéder aux champs auxquels ils devraient avoir accès et provoquant par inadvertance un refus d’accès aux données critiques.

Brève description

• (Ancien)

  Exiger la validation des entités XMLdoc2 avec l'expansion des entités allowlistDisable

• (Nouveau)

  Exiger la validation des entités XMLdoc2 avec liste d’autorisation

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété système « glide.oauth.state.paramater.required » permet d’exiger le paramètre « État » dans une demande OAuth pour le flux de code d’autorisation. À partir de la version Madrid, la propriété système « glide.oauth.state.parameter.required » ajoute un paramètre « État » pour une demande OAuth. Pour les instances zbooted, la propriété est true. Pour les instances mises à niveau, la propriété n’est pas présente, le paramètre « État » n’est donc pas activé. Le paramètre « État » est une valeur de chaîne et ne doit pas contenir de caractères spéciaux. Le paramètre d’état ne peut pas être vide ou « . Le fait de ne pas activer le paramètre « État » sur « vrai » garantit qu’un attaquant ne peut pas effectuer d’attaques CSRF pendant l’authentification peut permettre à un attaquant d’effectuer des opérations en tant que victime.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Le fait de ne pas activer la propriété glide.oauth.state.parameter.required dans le flux de code d’autorisation OAuth augmente le risque d’attaques de contrefaçon de requête de site à site (CSRF), ce qui peut permettre aux personnes malveillantes d’emprunter l’identité d’utilisateurs et d’effectuer des actions non autorisées.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « sn_kb_social_qa.max_comments_per_user_daily » n’est pas définie sur la valeur conseillée de « 500 » ou moins, il n’y a alors aucune restriction sur le nombre de commentaires QA par jour.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Trop de commentaires pourraient entraîner l’épuisement des ressources.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.cs.debug » n’est pas défini sur la valeur recommandée « faux », la journalisation des messages du serveur de messagerie instantanée est activée. Définir la valeur de la propriété sur vrai permet de consigner les messages du serveur de messagerie instantanée dans les journaux système. Comme de nombreux messages de journal sont générés, il est conseillé de l’activer uniquement lors du dépannage du serveur de messagerie instantanée. Après le dépannage, la propriété doit être désactivée pour éviter d’encombrer les journaux système. Si vous définissez la propriété sur false, qui est également la valeur par défaut, les messages du serveur de messagerie instantanée dans les journaux système ne sont pas enregistrés.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela pourrait entraîner une fuite involontaire d’informations sensibles par le biais des journaux système.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété Glide « glide.service_portal.widget.allow_list » détermine la liste des widgets autorisés à tenter d’accéder à n’importe quelle table de l’instance. Les ACL de ces tables seront toujours appliquées. Si des ACL vides sont mal configurées sur les tables de l’instance, les widgets de cette liste peuvent autoriser l’accès à ces tables, entraînant ainsi la divulgation d’informations. Cette propriété n’est appliquée que si le widget utilise SNCACLWidgetUtil et si la propriété Glide « glide.service_portal.widget.enforce_public_check » est définie sur « vrai ».

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs non authentifiés peuvent accéder de manière involontaire à des données de table sensibles via les widgets du portail de services, ce qui peut entraîner une éventuelle divulgation d’informations.

• Valeur de secours
  • (Ancien) <vide>
  • (Nouveau)

    ''

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « sn_ext_usr_reg. Reg_link_expiration_days » n'est pas définie sur la valeur conseillée de « 3 », un lien d'inscription peut alors être utilisé par une autre personne que l'utilisateur prévu si le lien est détecté ultérieurement.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Des fenêtres d’expiration plus longues affaiblissent la sécurité de l’approvisionnement des comptes et créent des opportunités de création de compte non autorisé ou d’usurpation d’identité.

Description

• (Ancien)

  Les deux propriétés glide.outbound_http_log.override et glide.outbound_http_log.override.level

  collaborer pour contrôler le niveau de journalisation des requêtes HTTP sortantes. Lorsque glide.outbound_http_log.override est défini sur « vrai », le niveau de journalisation pour les demandes et

  Les réponses sont contrôlées par glide.outbound_http_log.override.level . Si le niveau de remplacement est défini sur « tous » ou « élevé », les en-têtes de demande et de réponse sont journalisés

• (Nouveau)

  Les deux propriétés glide.outbound_http_log.override et glide.outbound_http_log.override.level fonctionnent ensemble pour contrôler le niveau de journalisation des requêtes HTTP sortantes. Lorsque glide.outbound_http_log.override est défini sur « vrai », le niveau de journalisation des demandes et des réponses est contrôlé par glide.outbound_http_log.override.level. Si le niveau de remplacement est défini sur « tous » ou « élevé », les en-têtes de demande et de réponse sont journalisés

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « sn_ext_usr_reg.captchaEnabled » n’est pas défini sur la valeur recommandée « vrai », CAPTCHA n’est pas validé pour l’enregistrement des utilisateurs externes et peut entraîner des attaques de création automatique de compte.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’application de CAPTCHA est essentielle pour prévenir les attaques pilotées par des bots et maintenir l’intégrité de l’intégration des utilisateurs.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle si les requêtes de jointure reçoivent ou non des conditions séparées par domaine, afin de s’assurer qu’elles appliquent la fonctionnalité de séparation de domaine pour les champs de remontée pas à pas.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Des renseignements sensibles pourraient être divulgués et ne doivent pas être partagés avec un domaine spécifique.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Il peut y avoir un impact fonctionnel modéré sur l’instance si les composants dépendent des requêtes interdomaines non sécurisées. Les instances doivent être testées dans des environnements de non-production avant l’activation.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.report.published_reports.enabled » n’est pas défini sur la valeur recommandée « faux », les rapports stockés sur l’instance peuvent alors devenir visibles sans authentification.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Autoriser un accès non authentifié à des données sensibles peut entraîner la divulgation d’informations par inadvertance à un acteur malveillant.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.basicauth.required.jsonv2 » n’est pas définie sur la valeur conseillée « vrai », l’authentification de base pour le processeur d’exportation de format JSONv2 est alors désactivée. Cela se produit également en cas de combinaison avec un rôle incorrect dans la propriété associée guest_user (par exemple, un utilisateur avec des privilèges élevés tel que l’administrateur).

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’exportation JSON, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, pose un risque important d’exposition non autorisée des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.basicauth.required.xmloutputprocessor » n’est pas définie sur la valeur conseillée « vrai », l’autorisation de base n’est alors pas requise pour toutes les demandes XMLOutputProcessor entrantes. Cela peut entraîner une divulgation d’informations non authentifiées de l’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’exportation XML, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, présente un risque important d’exposition non autorisée des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « password_reset.sms.expiry » désigne le nombre de minutes avant l’expiration du code SMS.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la valeur est trop élevée, un attaquant peut deviner le code SMS pour réinitialiser le mot de passe.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le sn_va_web_client_app_embed de page de l’interface utilisateur, qui est un client Web intégré pour l’agent virtuel, contient l’ACL définie sur « vrai » dans la table sys_public prête à l’emploi. Il a été confirmé qu’il existe des cas d’utilisation où l’accessibilité publique est nécessaire, mais il ne s’agit pas d’une bonne pratique de sécurité de le définir par défaut comme accessible au public.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les informations sensibles peuvent être exposées aux utilisateurs non authentifiés.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « password_reset.sms.pause_window » n’est pas définie sur la valeur conseillée « 2 » minutes ou plus, un utilisateur malveillant peut alors lancer de nombreux codes SMS de réinitialisation de mot de passe dans une brève période de temps.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela augmente la probabilité que l’attaquant prédise le code de réinitialisation par SMS.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « password_reset.request.retry_window » spécifie le délai avant l’actualisation du nombre de tentatives de réinitialisation du mot de passe.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la valeur est trop faible, les attaques par force brute contre le processus de réinitialisation du mot de passe seront beaucoup plus rapides.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété fournit une couche supplémentaire de sécurité lors de la soumission du formulaire/des mises à jour de champs en s’assurant que seuls les utilisateurs ayant les autorisations appropriées sont autorisés à mettre à jour un formulaire. Si « glide.security.strict.updates » n’est pas défini sur la valeur recommandée « vrai », les mises à jour ne sont pas strictes, ce qui signifie qu’ils sont en mesure de modifier les champs qui leur sont visibles, qu’ils disposent ou non des autorisations appropriées.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs peuvent être en mesure de mettre à jour les champs de formulaire simplement en les voyant, quelles que soient leurs autorisations réelles, ce qui crée un risque de modification non autorisée des données et d’élévation de privilèges.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « password_reset.request.expiry » n'est pas défini sur la valeur conseillée de « 10 » ou moins, cela augmente la possibilité pour quelqu'un d'autre de deviner et d'utiliser la demande et de tenter de réinitialiser le mot de passe.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Des fenêtres d’expiration courtes sont essentielles pour réduire les possibilités de réinitialisation de mot de passe non autorisée et assurer la sécurité des comptes.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « password_reset.request.max_attempt » détermine le nombre maximal de tentatives infructueuses de réinitialisation du mot de passe qui peuvent être effectuées avant que l’utilisateur ne soit verrouillé hors du processus de réinitialisation du mot de passe. La période de verrouillage est déterminée par la valeur de « password_reset.request.max_attempt_window ».

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la valeur est trop élevée, il peut être possible d’effectuer une attaque par force brute contre le processus de réinitialisation du mot de passe.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « password_reset.captcha.ignore » n’est pas définie sur la valeur conseillée « faux », un défi-réponse par CAPTCHA n’est pas utilisé pendant le processus de réinitialisation du mot de passe. Les CAPTCHA aident à prévenir les attaques d’automatisation en invitant l’utilisateur à un défi-réponse auquel les systèmes automatisés ne répondent pas facilement.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si le CAPTCHA est désactivé, une personne malveillante peut avoir plus de succès lors d’attaques automatisées contre la fonctionnalité de réinitialisation du mot de passe.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.update_set.remote.check_host » n’est pas définie sur la valeur conseillée « vrai », la fonctionnalité de test d’instance à distance de Développement de l’équipe autorise une analyse de port réseau interne en fournissant des messages d’erreur positifs/négatifs.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un attaquant peut énumérer tous les ports ouverts sur un hôte donné ou extraire les données de réponse, ce qui entraîne une fuite d’informations ou un accès non autorisé aux données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.ui.rotate_sessions » n’est pas défini sur la valeur recommandée « vrai », l’identification des informations sur une session est conservée et ne tourne pas d’une application à une autre.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela augmente le risque de détournement de session, car les attaquants pourraient réutiliser les identifiants de session pour obtenir un accès non autorisé.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « com.glide.cs.embed.xframe_options » n’est pas définie sur la valeur conseillée « DENY » ou « SAMEORIGIN », le contenu de l’application Web peut alors être incorporé dans un site tiers à l’aide d’un URI ALLOW-FROM.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Autoriser des sites tiers non approuvés pourrait permettre des attaques telles que le clickjacking.

• Valeur de secours
  • (Ancien) <vide>
  • (Nouveau)

    ''

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.installation.production » n’est pas défini sur la valeur recommandée « vrai », l’instance n’est pas traitée comme une instance de production, ce qui autorise zboot et d’autres scripts potentiellement dangereux.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Permettre à une instance de production d’être évaluée comme une instance de non-production peut entraîner la divulgation d’informations ou un déni de service.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « glide.cms.dashboards.sharing_with_secure_search » n’est pas définie sur « vrai », un utilisateur peut partager un tableau de bord avec des groupes et des rôles auxquels il n’a pas personnellement accès. Cette propriété applique les ACL lors de la recherche des tables sys_user, sys_user_role et sys_user_group lors du partage d’un tableau de bord.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Le partage excessif d’un tableau de bord peut entraîner des impacts mineurs sur la confidentialité dans les cas où un utilisateur partage un tableau de bord avec un utilisateur, un groupe ou un rôle qui ne doit pas y accéder.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété suivante contrôle l’implémentation de l’en-tête de sécurité X-Frame-Options : SAMEORIGIN. Si « glide.set_x_frame_options » n’est pas défini sur la valeur recommandée « vrai », une instance peut être encadrée dans un iframe d’une autre page.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela peut conduire à une attaque de détournement de clic.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.cookies.http_only » n’est pas défini sur la valeur recommandée « vrai », l’instance ne nécessite pas l’attribut HTTPOnly pour les cookies sensibles.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’attribut HTTPOnly est utilisé pour empêcher les attaques, telles que le script de site à site, car il n’autorise pas l’accès au cookie à l’aide d’un script côté client, tel que JavaScript.

• Brève description
  • (Ancien)

    Empêcher la création d'ACL vide

  • (Nouveau)

    Empêcher la création d'ACL vide

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété glide.security.empty_acl.popup_window.enabled contrôle si les utilisateurs qui apportent des modifications basées sur des formulaires aux enregistrements ACL (sys_security_acl)

    peut créer, mettre à jour ou enregistrer une ACL non valide dont la condition de données, le script, l’attribut de sécurité ou la liste des rôles n’est pas valide ou qui n’a pas encore de configuration (une « ACL vide »). À partir de la version Xanadu, une ACL vide refusera totalement l’accès. Sur les versions antérieures à Xanadu, vider une ACL autorise un accès inconditionnel. Lorsque la propriété glide.security.empty_acl.popup_window.enabled est définie sur la valeur sécurisée « vrai », les tentatives de création, de mise à jour ou d’enregistrement d’une ACL vide ou non valide sont bloquées et un modèle côté client est fourni pour configurer un rôle ou un attribut de sécurité pour l’ACL. Si la propriété n’est définie de manière sécurisée sur aucune autre valeur, ces tentatives sont autorisées et aucun modèle côté client n’est affiché. Remarque : cette propriété est sensible à la casse. Une valeur « vrai » (« T » majuscule) équivaut à « faux ». En outre, cette propriété ne fonctionne que lorsque le module d’extension de haute sécurité (com.glide.high_security) est installé et actif.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Des listes de contrôle d’accès (ACL) mal configurées ou vides peuvent involontairement accorder un accès illimité aux données sensibles et aux fonctionnalités du système. Lorsque les ACL ne disposent pas de conditions, de rôles ou d’attributs de sécurité appropriés, elles ne parviennent pas à appliquer les limites d’autorisation, ce qui permet aux attaquants ou aux utilisateurs non autorisés de contourner les contrôles de sécurité. Cela peut entraîner des violations de données, une escalade de privilèges et la compromission de la confidentialité, de l’intégrité et de la disponibilité sur l’ensemble de la plateforme.

• Valeur de secours
  • (Ancien) <vide>
  • (Nouveau)

    faux

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.basicauth.required.xml » n’est pas défini sur la valeur recommandée « vrai », cela désactive l’authentification de base pour le processeur d’exportation de format XML. Cela se produit également en cas de combinaison avec un rôle incorrect dans la propriété associée guest_user (par exemple, un utilisateur avec des privilèges élevés tel que l’administrateur). Cela entraîne un accès non authentifié aux données d’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’exportation XML, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, présente un risque important d’exposition non autorisée des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.soap.strict_security » n’est pas défini sur la valeur recommandée « vrai », les utilisateurs n’ont pas besoin d’un rôle SOAP pour effectuer des demandes de pages non publiques lorsque le module d’extension de haute sécurité ou de service Web est installé.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.ui.magellan.favorites.allow_public » n'est pas définie sur la valeur conseillée, « faux », tous les utilisateurs non authentifiés peuvent alors accéder aux favoris du même utilisateur « Invité » dans le navigateur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs non authentifiés sont autorisés à accéder aux favoris de l’utilisateur « invité » partagé et à les manipuler, ce qui augmente le risque de personnalisation non autorisée de l’interface utilisateur, d’exposition des données et d’utilisation abusive de l’interface utilisateur.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle les actions d’e-mail entrant pour les utilisateurs bloqués. Si « glide.pop3.process_locked_out » est défini sur « Vrai », il peut y avoir une divulgation d’informations car les e-mails entrants seraient reçus par des utilisateurs ayant des comptes verrouillés.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Permet aux utilisateurs bloqués de continuer à soumettre des e-mails entrants susceptibles de créer des enregistrements ou de déclencher des workflows, ce qui pose un risque de sécurité en permettant des actions potentiellement non autorisées.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Détermine si les applications d’administration d’application peuvent hériter des règles de liste de contrôle d’accès global (ACL). Utile lorsqu’aucune ACL d’application d’administration incluse dans le périmètre n’est définie pour le périmètre de l’enregistrement.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.security.scoped_administration.honor_global_acl » n’est pas définie sur la valeur conseillée « vrai », un utilisateur avec peu de privilèges qui a des autorisations dans l’application est alors susceptible d’accéder à des enregistrements sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « glide.authenticate.session_access.log_audit_event » est définie sur « vrai », des événements d’audit de session sont créés dans la table sys_session_access_audit. Les informations consignées comprennent l’utilisateur, l’ID de session (non sensible), l’adresse IP, les rôles et les politiques.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les informations sur l’accès à une session ne sont pas enregistrées pour faciliter les enquêtes sur les incidents.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété détermine le délai d’expiration de la session utilisateur. Cela détermine la durée pendant laquelle une session utilisateur reste active. Si « glide.ui.session_timeout » n’est pas défini sur la valeur recommandée de « 60 » minutes ou moins, la séance peut rester valide pendant longtemps, même sans activité. Cela pourrait fournir une fenêtre de temps trop longue pour permettre des attaques de détournement de session.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un long délai d’expiration de session permet aux sessions inactives de rester valides pendant de longues périodes, ce qui augmente les chances qu’un attaquant détourne la session avant son expiration.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.sys.log_impersonation » n’est pas définie sur la valeur conseillée « vrai », les événements d’emprunt d’identité de l’utilisateur ne sont plus consignés.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’efficacité des détections et des enquêtes automatisées de sécurité de ServiceNow sera réduite.

• Valeur de secours
  • (Ancien) <vide>
  • (Nouveau)

    faux

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété applique le comportement de nettoyage des champs de translated_html à un niveau global pour les affectations de champs.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si « com.glide.security.check_unsanitized_html » n’est pas défini sur la valeur recommandée « appliquer », un attaquant peut être en mesure d’exécuter un javascript arbitraire dans le navigateur de la victime (attaques XSS).

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

Correction

• (Ancien)

  Configurez la propriété glide.active.session.timeout.exception.roles pour les rôles qui doivent être exemptés des délais d’expiration de session active. Cette valeur de propriété est une liste de rôles séparés par des virgules. La valeur par défaut est edge_encryption,mid_server,maint.

• (Nouveau)

  Configurez la propriété glide.active.session.timeout.exception.roles pour les rôles qui doivent être exemptés des délais d’expiration de session active. Cette valeur de propriété est une liste de rôles séparés par des virgules. La valeur par défaut est edge_encryption,mid_server,maint.

• Nom de la configuration technique
  • (Ancien)

    glide.integrations.active.session.life_span

  • (Nouveau)

    glide.integrations.active.session.life_span

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette configuration applique la durée de vie maximale sur les sessions HTTP d’invités actives, quel que soit le délai d’expiration inactif. La valeur configurée est en minutes et la valeur de zéro désactive l’expiration des sessions actives. Cette propriété particulière est limitée aux intégrations qui disposent d’un accès avec peu de privilèges à une instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une durée de vie maximale plus longue pourrait permettre à un attaquant de persister plus longtemps dans une session volée, augmentant ainsi la portée d’un incident de sécurité.

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    0

• Valeur de secours
  • (Ancien) <vide>
  • (Nouveau)

    0

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette configuration applique la durée de vie maximale sur les sessions HTTP d’invités actives, quel que soit le délai d’expiration inactif. La valeur configurée est en minutes et la valeur de zéro désactive l’expiration des sessions actives. Cette propriété particulière est limitée aux utilisateurs invités, qui disposent d’un accès avec peu de privilèges à une instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une durée de vie maximale plus longue pourrait permettre à un attaquant de persister plus longtemps dans une session volée, augmentant ainsi la portée d’un incident de sécurité.

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    0

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

Description

• (Ancien)

  La propriété « sn_customerservice.captchaEnabled » détermine si la validation CAPTCHA est activée ou désactivée pour l’inscription du client sur le portail Gestion du service client.

• (Nouveau)

  La propriété « sn_customerservice.captchaEnabled » détermine si la validation CAPTCHA est activée ou désactivée pour l’inscription du client sur le portail Gestion du service client.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Les actions de script « Vérification du verrouillage de l’utilisateur SNC » ou « Vérification du verrouillage de l’utilisateur SNC avec déverrouillage automatique » permettent à l’administrateur de gérer le nombre d’échecs de tentatives de connexion pour un utilisateur. Deux actions des scripts sont disponibles pour permettre à un administrateur de site de gérer le nombre de tentatives de mot de passe qu’un utilisateur possède avant d’être bloqué par Now Platform. En outre, la propriété « glide.user.max_unlock_attempts » contrôle le nombre de tentatives de connexion échouées autorisées. Si la valeur de « glide.user.max_unlock_attempts » est augmentée au-dessus de la valeur recommandée de « 5 », cela augmente le nombre de tentatives de connexion qu’un attaquant pourrait effectuer contre un utilisateur donné.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Autoriser plus de tentatives donne aux attaquants des opportunités supplémentaires de deviner les mots de passe, ce qui augmente la probabilité d’accès non autorisé et de compromission des informations d’identification. Une configuration correcte du verrouillage est essentielle pour maintenir une sécurité d’authentification forte.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « glide.cms.catalog_uri_relative » applique les liens relatifs à partir du paramètre URI sur /ess/catalog.do. Si « glide.cms.catalog_uri_relative » n’est pas défini sur la valeur recommandée « vrai », l’URL n’est pas assainie avec la fonction enforceRelativeURL(url). Cette propriété impacte le système de gestion du contenu (CMS) qui a été remplacé par Portail de services.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les URL absolues peuvent représenter un risque de sécurité lorsqu’elles sont utilisées dans le cadre d’un paramètre ou d’une valeur de champ, redirigeant ainsi la page source vers un site Web contrôlé par un adversaire.

• Brève description
  • (Ancien)

    Minimiser le nombre de sessions interactives simultanées lorsque le module d’extension Limite de sessions simultanées est installé

  • (Nouveau)

    Réduire les sessions interactives simultanéess avec le module d'extension de limite de sessions simultanées

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « glide.authenticate.max.concurrent.interactive.sessions » contrôle le nombre de sessions actives qui peuvent être ouvertes pour un utilisateur lorsque le module d’extension Limite de sessions simultanées (com.glide.limit.concurrent.sessions) est activé. Il est recommandé que cette valeur soit « 1 » par défaut pour réduire le nombre de sessions qui peuvent être laissées ouvertes pour un utilisateur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un plus grand nombre de sessions ouvertes signifie qu’il y a plus de sessions qui peuvent potentiellement être détournées.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.basicauth.required.schema » n’est pas définie sur la valeur conseillée « vrai », l’autorisation de base n’est alors pas requise pour toutes les demandes du processeur de schéma de table entrante. Le processeur de schéma de table entrante gère les demandes de schéma entrantes pour la plateforme.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Omettre l’authentification à partir de ce processeur entraîne un accès non authentifié aux données de schéma d’instance.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété autorise l’utilisation d’un jeton de sécurité expiré pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Autoriser l’utilisation de jetons CSRF précédents ou expirés expose l’application à des attaques de relecture, ce qui permet aux attaquants de réutiliser des demandes valides et éventuellement d’effectuer des actions non autorisées au nom d’utilisateurs légitimes.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Booléen

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    faux

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « com.snc.platform.security.token.auth.cleanup » est définie sur la valeur non sécurisée « faux », les clés API expirées et les secrets HMAC ne sont pas supprimés. Cela crée un potentiel de réutilisation des jetons. Si le jeton a expiré en raison d’une fuite ou d’une compromission, la réutilisation expose l’instance à toute personne possédant le jeton ayant fait l’objet de la fuite. Les jetons expirés sont conservés pendant le nombre de jours défini par « com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept » et « com.snc.platform.security.token.auth.days.expired.api_key.is.kept ». Les valeurs entières supérieures ou égales à 0 sont valides. Une valeur de 0 entraînerait la suppression des jetons expirés le même jour. La valeur par défaut de 7 jours, ou moins, est recommandée.

• Correction
  • (Ancien)

    Assurez-vous que la propriété « com.snc.platform.security.token.auth.cleanup » n’existe pas dans la table sys_properties ou qu’elle est définie sur « vrai ». Assurez-vous que les propriétés « com.snc.platform.security.token.auth.days.expired.api_key.is.kept » et « com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept » n’existent pas dans la table sys_properties ou qu’elles sont définies sur 7 ou moins, 7 correspondant au nombre de jours.

  • (Nouveau)

    Assurez-vous que la propriété « com.snc.platform.security.token.auth.cleanup » n’existe pas dans la table sys_properties ou qu’elle est définie sur « vrai ». Assurez-vous que les propriétés « com.snc.platform.security.token.auth.days.expired.api_key.is.kept » et « com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept » n’existent pas dans la table sys_properties ou qu’elles sont définies sur 7 ou moins, 7 correspondant au nombre de jours.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un nombre élevé de jours augmente la période d’exposition pour la réutilisation des jetons.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle si HtmlSanitizerService est activé. Si la propriété « com.glide.cs.html.sanitizer.enabled » n’est pas définie sur « vrai », une attaque de script de site à site stocké (XSS) est possible dans le client Web VA.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une vulnérabilité XSS peut faciliter l’escalade de privilège vers des rôles de niveau supérieur, tels que l’administrateur, permettant ainsi un mouvement latéral plus large au sein du système.

Description

• (Ancien)

  Réduisez le risque de détournement de cookies/de session des applications Web à l’aide d’une propriété système. Si glide.http.headers_config.enabled n’est pas défini sur vrai, les configurations d’en-tête de réponse définies dans la table En-têtes de réponse HTTP [sys_response_header] ne sont pas utilisées. Les en-têtes de réponse HTTP liés à la sécurité incluent la politique de sécurité du contenu, qui contribue aux protections liées aux XSS. Pour plus d’informations sur les en-têtes de réponse HTTP, consultez En-têtes de réponse HTTP (https://www.servicenow.com/docs/csh?topicname=http-response-header.html&version=latest).

• (Nouveau)

  Réduisez le risque de détournement de cookies/de session des applications Web à l’aide d’une propriété système. Si glide.http.headers_config.enabled n’est pas défini sur vrai, les configurations d’en-tête de réponse définies dans la table En-têtes de réponse HTTP [sys_response_header] ne sont pas utilisées. Les en-têtes de réponse HTTP liés à la sécurité incluent la politique de sécurité du contenu, qui contribue aux protections liées aux XSS. Pour plus d’informations sur les en-têtes de réponse HTTP, consultez En-têtes de réponse HTTP (https://www.servicenow.com/docs/csh?topicname=http-response-header.html&version=latest).

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété empêche les utilisateurs d’accepter un avertissement permettant d’envoyer une demande potentiellement malveillante à l’instance. Cet avertissement s’affiche lorsqu’une requête POST échoue en raison d’un jeton anti-CSRF non correspondant appartenant à l’une des autres sessions actives de la victime. Si « glide.security.csrf.strict.validation.mode » n’est pas défini sur la valeur recommandée « vrai », un attaquant peut formuler une attaque CSRF à l’aide d’un jeton anti-CSRF divulgué provenant d’une autre session active appartenant à la victime. Une demande POST à une instance contient un jeton anti-CSRF dans « sysparm_ck » ou « XUserToken » qui correspond à la session actuelle de l’utilisateur. Si le jeton anti-CSRF est plutôt lié à l’une des autres sessions actives de l’utilisateur, la demande POST renvoie une redirection 302 vers security_interceptor.do avec un bouton « Continuer » disponible pour l’utilisateur lorsque cette propriété est définie sur « faux ». Un clic sur ce bouton soumet à nouveau la demande à l’instance, sauf qu’elle dispose désormais d’un jeton anti-CSRF valide. Lorsque cette propriété est définie sur « vrai », la redirection 302 vers la page security_interceptor.do n’affiche pas de bouton « Continuer » et l’utilisateur n’est pas autorisé à soumettre à nouveau la demande.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une attaque CSRF réussie permettra à un attaquant d’effectuer efficacement toute opération que la victime est capable d’effectuer.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété détermine si un développeur délégué peut attribuer des rôles aux utilisateurs par le biais de scripts. Si la propriété « com.glide.sys.security.delegateddev.block_grant_roles » n’est pas définie sur la valeur recommandée

    la valeur « vrai », alors un développeur délégué peut affecter des rôles à n’importe quel utilisateur. Cela peut entraîner une escalade de privilège non approuvée.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les développeurs délégués peuvent affecter des rôles à n’importe quel utilisateur via des scripts, ce qui pose un risque de sécurité important d’escalade de privilège non autorisée.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété Glide « glide.basicauth.required.xsd » détermine si l’authentification est nécessaire pour effectuer une demande XSD à une instance. Si la propriété « glide.basicauth.required.xsd » n’est pas définie sur la valeur conseillée « vrai », l’authentification est alors désactivée pour les demandes XSD sur l’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété permet un accès non authentifié au processeur XSD qui peut entraîner la fuite d’informations sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si cette propriété est définie sur faux, un message d'erreur SQL détaillé est renvoyé, pouvant éventuellement entraîner la divulgation d'informations sensibles.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si des messages d’erreur SQL détaillés sont renvoyés, des informations sensibles telles que la structure de la base de données, les noms de tables ou les détails de la requête peuvent être exposées. Ces informations peuvent être exploitées par les attaquants pour élaborer des attaques par injection SQL ciblées ou exploiter d’autres vulnérabilités, augmentant ainsi le risque de violations de données et de compromission du système. Limiter les détails des erreurs est essentiel pour empêcher la divulgation d’informations qui favorisent les activités malveillantes.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le bloc-notes est un moyen facile de définir sur le serveur des informations accessibles dans le navigateur. Un administrateur peut y faire figurer n’importe quoi, y compris des données arbitraires provenant d’enregistrements arbitraires.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.ui.escape_scratchpad » n’est pas défini sur la valeur recommandée « vrai », il est possible d’exécuter un script malveillant comme une vulnérabilité de script de site à site.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.basicauth.required.pdf » n’est pas défini sur la valeur recommandée « vrai », cela désactive l’authentification de base pour le processeur d’exportation de format PDF. Cela se produit également en cas de combinaison avec un rôle incorrect dans la propriété associée guest_user (par exemple, un utilisateur avec des privilèges élevés tel que l’administrateur). Cela entraîne un accès non authentifié aux données d’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’exportation PDF, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, présente un risque important d’exposition non autorisée des données.

Correction

• (Ancien)

  Assurez-vous que le module d'extension « com.snc.snc_access_control » est activé. Lire la documentation sur l’activation à https://www.servicenow.com/docs/csh ? topicname=t_ActivateSNCAccessControl.html&version=dernière.

• (Nouveau)

  Assurez-vous que le module d'extension « com.snc.snc_access_control » est activé.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété est destinée à être utilisée avec le module d’extension « Limite de sessions simultanées ». Lorsque ce module d’extension est installé et configuré, le nombre de sessions ouvertes peut être limité par utilisateur. Lorsque cette propriété est définie, le nombre de sessions est suivi sur tous les nœuds au lieu d’un seul nœud d’application.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si cette propriété n’est pas définie sur true, plusieurs sessions peuvent être ouvertes sur plusieurs nœuds, ce qui augmente la probabilité d’un détournement de session réussi.

• Applicabilité du module d’extension
  • (Ancien) <vide>
  • (Nouveau)

    com.glide.limit.concurrent.sessions

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Crée plusieurs ACL importantes qui valident les contrôles d’accès sur certaines des tables clés du système dans Now Platform. Ces règles permettent de démarrer rapidement la sécurisation de nombreuses tables système, ce qui facilite la mise en production d’une instance. Le module d’extension Démarrage rapide de la sécurité (règles ACL) est installé automatiquement sur toutes les nouvelles instances.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Des lacunes dans le contrôle d’accès peuvent permettre à des utilisateurs non autorisés d’afficher, de modifier ou de supprimer des données sensibles, ce qui compromet l’intégrité et la confidentialité des données ainsi que la conformité aux politiques de sécurité de l’organisation.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le « glide.security.enable_archive_table_acls » contrôle si les ACL ajoutées aux tables d’archivage sont évaluées (vrai) ou si seules les ACL de la table d’origine (c’est-à-dire la table à partir de laquelle la table d’archivage a été créée) sont évaluées (faux). Il n’y a aucune raison pour que cette propriété ne soit pas vraie, car les ACL de la table d’origine seront évaluées quelle que soit leur valeur et puisqu’un client peut simplement éviter des ACL supplémentaires pour une table d’archivage en ne les ajoutant pas.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété est définie sur false, les ACL ajoutées aux tables archivées sont ignorées, une action qui est contre-intuitive et peut entraîner un contournement de l’autorisation.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.stax.allow_entity_resolution » n’est pas défini sur la valeur recommandée « faux », cette propriété permet aux entités XML d’être développées lors de l’analyse par l’analyseur de diffusion (XMLDocument2).

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’extension de l’entité XML peut entraîner des attaques telles que la capacité à lire des fichiers système et le déni de service.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Booléen

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    faux

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « com.snc.process_flow.reporting.require_flow_access » est définie sur la valeur vrai, une vérification d’accès supplémentaire est effectuée pour un utilisateur qui tente de lire un contexte de flux. Un utilisateur doit avoir accès au flux parent pour pouvoir lire le contexte d’écoulement.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Il peut y avoir une divulgation mineure d’informations si cette propriété n’est pas définie correctement.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.ui.attachment.force_download_all_mime_types » est définie sur vrai, la propriété « glide.ui.attachment.download_mime_types » est alors remplacée afin que tous les types MIME soient téléchargés plutôt qu’affichés par le navigateur. Par exemple, le téléchargement de texte/html force un fichier HTML à être téléchargé sur le client en tant que fichier plutôt que d’être affiché en ligne dans le navigateur, empêchant ainsi une attaque XSS.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une XSS peut faciliter l’atteinte de l’escalade de privilège vers des rôles plus élevés tels que l’administrateur où un mouvement plus latéral peut être effectué.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle la quantité maximale d’expansion d’entité dans un analyseur XML. Si « glide.xmlutil.max_entity_expansion » n’est pas défini sur la valeur recommandée de 3 000 ou moins, le script d’analyse GlideXMLUtil peut être vulnérable aux attaques par déni de service.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une vulnérabilité de déni de service (DoS) pose un risque de sécurité en permettant aux attaquants de submerger ou de faire planter un système, le rendant indisponible pour les utilisateurs légitimes et perturbant potentiellement les opérations critiques.

• Brève description
  • (Ancien)

    Restreindre le développement d'application global par rôle

  • (Nouveau)

    Restreindre le développement d'application global par rôle

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « sn_g_app_creator.allow_global » contrôle quels utilisateurs peuvent créer des applications dans le périmètre global à l’aide de Création d’apps guidée. Si la propriété « sn_g_app_creator.allow_global » est définie sur la valeur conseillée « faux », les utilisateurs doivent disposer du rôle « sn_g_app_creator.global » pour créer une application dans le périmètre global à l’aide du Créateur d’apps guidée. Si la propriété « sn_g_app_creator.allow_global » est définie sur la valeur non sécurisée « vrai », tous les utilisateurs ayant uniquement le rôle de base « sn_g_app_creator.app_creator » peuvent créer une application dans le champ d’application global à l’aide du Créateur d’apps guidée. Les applications dans le champ d’application global ne contiennent pas de protections de champ d’application, ce qui permet à un développeur d’accéder à des fonctionnalités et fonctions supérieures à un champ d’application spécifique.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    La limitation du développement global d’applications aux utilisateurs disposant d’un rôle supplémentaire suit le principe du moindre privilège.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez la propriété glide.live_profile.details pour indiquer si un utilisateur doit être en mesure d’afficher tous les champs de détail, tels que le nom de la société et les numéros de téléphone, dans un profil actif sous la fonctionnalité Flux en direct. Si « glide.live_profile.details » est défini sur la valeur « Masquer », aucune information de profil actif n’est alors visible par l’utilisateur. S’il est défini pour s’afficher, toutes les informations sont visibles. Lorsque glide.live_profile.details » est défini sur la valeur « ACL », les informations sont visibles en fonction des ACL du profil de l’utilisateur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’exposition d’informations sensibles sur les utilisateurs, telles que l’affiliation à l’entreprise et les coordonnées, à des utilisateurs non autorisés augmente le risque de fuite de données et de violation des contrôles de confidentialité si les ACL ne sont pas appliquées.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété ajoute « script-src none » à l’en-tête ContentSecurity-Policy lorsque les SVG sont accessibles via l’extension de fichier « .iix », ce qui empêche l’exploitation du XSS stocké à partir des pièces jointes créées stockées dans l’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Sans cette politique, un acteur malveillant pourrait inciter un utilisateur à exécuter du code JavaScript arbitraire dans son navigateur Web, ce qui entraînerait des conséquences telles que l’exfiltration de données ou la prise de contrôle de session.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété permet à un client d’activer ou de désactiver la protection contre l’interpolation. La protection contre l’interpolation garantit que lorsque des expressions Jelly sont utilisées dans JavaScript, elles doivent être considérées comme sûres en entrant dans certaines catégories OU en étant marquées comme SAFE dans l’expression elle-même. Si cette atténuation n’est pas activée, un acteur malveillant peut envoyer un paramètre GET créé à une page Jelly et faire en sorte que le contenu de ce paramètre soit évalué en tant que JavaScript côté serveur avec des privilèges d’administrateur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.ui.jelly.js_interpolation.protect » n’est pas défini sur la valeur recommandée « vrai », les expressions Jelly dangereuses interpolées dans JavaScript sont autorisées et l’utilisateur peut exécuter du code à l’aide du modèle Jelly.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété active/désactive la validation d’ACL pour les appels d’API GlideAjax. Si la propriété « glide.script.secure.ajaxgliderecord » n’est pas définie sur la valeur conseillée « vrai », la validation de l’ACL n’est pas terminée pour les demandes GlideAjax.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela peut entraîner un accès aux ressources côté serveur par des utilisateurs sans autorisation appropriée.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété Glide « com.glide.communications.httpclient.ocsp_allow_network_error » n’est pas explicitement définie sur la valeur conseillée, faux et que la vérification OCSP (Online Certificate Status Protocol) rencontre un problème lié au réseau, tel qu’un délai d’expiration ou un échec de récupération des données de révocation, le système considère la validation OCSP comme réussie par défaut.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un attaquant utilisant un certificat révoqué pourrait exploiter cela en omettant simplement la réponse OCSP lors d’une tentative de connexion. Dans de tels cas, le client accepterait à tort le certificat révoqué comme valide, ce qui compromettrait l’intégrité de l’infrastructure à clé publique (PKI) et le modèle de confiance qui sous-tend les communications Web sécurisées. L’utilisation de certificats révoqués est souvent le signe d’une activité malveillante, sauf si elle est attribuable à des problèmes de synchronisation temporaires entre les autorités de certification et les intervenants OCSP.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.basicauth.required.excel » n’est pas définie sur la valeur conseillée « vrai », l’authentification de base pour le processeur d’exportation de format EXCEL est alors désactivée. Cela se produit également en cas de combinaison avec un rôle incorrect dans la propriété associée guest_user (par exemple, un utilisateur avec des privilèges élevés tel que l’administrateur).

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’exportation Excel, combiné à un rôle d’utilisateur invité mal configuré, présente un risque important d’exposition non autorisée des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle si GlideRecordSecure ou GlideRecord est utilisé pour l’opération Insertion multiple dans l’API de jeu d’importation. Si cette propriété est définie sur « faux », GlideRecordSecure est utilisé pour insérer les enregistrements et les ACL de niveau table sont évaluées. Si cette propriété est définie sur « vrai », GlideRecord est utilisé pour insérer des enregistrements et les ACL de niveau table ne sont pas évaluées.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si cette propriété n’est pas définie sur la valeur recommandée « faux », un utilisateur avec peu de privilèges peut être en mesure d’insérer des données dans des tables en dehors du cadre de ses rôles privilégiés.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.ui.user_cookie.max_life_span_in_days » n'est pas défini sur la valeur recommandée de « 30 » ou sur une autre valeur appropriée, une session à très longue durée de vie peut être plus vulnérable aux attaques de détournement de session.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une longue durée de vie de session prolonge la fenêtre d’opportunité pour les attaquants de détourner les sessions actives, augmentant ainsi la probabilité d’accès non autorisé si les informations d’identification ou les jetons de session sont compromis.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.security.explain.write.locks » n’est pas définie sur la valeur conseillée « Faux », des informations supplémentaires sur le débogage s’affichent sur les éléments de formulaire verrouillés.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’affichage des informations de débogage sur des éléments de formulaire verrouillés peut entraîner la divulgation d’informations.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété définit un comportement par défaut pour l’API « retrieveAddress ». Lorsqu’aucun rôle n’est indiqué dans la propriété « glide.sc.req_for.roles », l’include de script Client pouvant être appelé « ScriptServiceCatalogGetLocation » peut être appelé par n’importe quel utilisateur connecté sans privilèges et peut récupérer l’adresse de tous les autres utilisateurs du système.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.sc.req_for.roles.default » n’est pas définie sur la valeur conseillée « refuser » (autoriser) et que la valeur de glide.sc.req_for.roles est vide, tout utilisateur peut demander des éléments pour d’autres utilisateurs, ce qui permet un accès non autorisé aux ressources.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.security.strict.actions » n’est pas défini sur la valeur recommandée « vrai », il n’y a aucune validation sur l’interface utilisateur de table avant l’exécution. Définir cette propriété sur valeur sécurisée ajoutera une couche supplémentaire de validation de sécurité.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs peuvent effectuer des opérations pour lesquelles ils ne sont pas autorisés, ce qui peut entraîner une manipulation non autorisée des données, une élévation de privilèges et le contournement des contrôles d’accès conçus pour protéger les enregistrements sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « glide.translated_html.sanitize_all_fields » est définie sur la valeur « vrai », tous les éléments translated_html sont assainis à l’aide d’un assainisseur HTML. Lorsque la propriété est définie sur « faux », un élément n’est assaini que si un attribut de dictionnaire, html_sanitize, est défini sur vrai.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’assainissement des éléments HTML est une bonne pratique qui permet de s’assurer qu’un attaquant ne peut pas intégrer de contenu malveillant susceptible de conduire à des attaques de script de site à site (XSS).

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « glide.sc.request.add_item_write_access » n’est pas définie sur « vrai », tout utilisateur connecté peut accéder à la page de l’interface utilisateur Ajouter un élément de catalogue. Cela peut entraîner la réalisation d’opérations non autorisées sur les éléments de catalogue.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela crée un risque de modifications ou d’ajouts non autorisés aux éléments de catalogue, pouvant entraîner une interruption de service, des demandes frauduleuses ou l’exposition de données sensibles. Des contrôles d’accès mal configurés dans la gestion du catalogue peuvent compromettre l’intégrité du système.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété est utilisée dans la fonctionnalité de sécurité des critères d’utilisateur de l’enregistrement de la base de connaissances. Si « glide.knowman.block_access_with_no_user_criteria » n’est pas défini sur la valeur recommandée « vrai », les bases de connaissances sans critères utilisateur Autorisation de lecture ou Autorisation de contribution deviennent lisibles et accessibles en écriture par tous les utilisateurs.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les bases de connaissances dépourvues de critères d’utilisateur explicites « peut lire » ou « peut contribuer » peuvent devenir accessibles et modifiables par tous les utilisateurs, ce qui peut entraîner un accès non autorisé et une modification du contenu sensible de la base de connaissances.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété applique l’authentification multifacteur en fonction des rôles affectés à l’utilisateur. Si cette propriété est définie sur vrai, elle applique l’authentification multifacteur basée sur le rôle à tous les utilisateurs décrits dans la table multi_factor_criteria. Cette table applique l’authentification multifacteur en fonction des rôles affectés à l’utilisateur. Si les rôles « administrateur », « security_admin » ou « user_admin » sont affectés à un utilisateur dans la liste des rôles multifacteur, la MFA est appliquée.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’application de la MFA basée sur les rôles renforce la sécurité de l’authentification et s’aligne sur les bonnes pratiques de protection des comptes privilégiés.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « com.glide.communications.httpclient.verify_hostname » n’est pas définie sur la valeur sécurisée « vrai », le nom d’hôte et la chaîne de certification présentés par les hôtes distants lors d’une connexion TLS initiée à partir de l’instance ServiceNow ne sont pas validés.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela pourrait compromettre la sécurité de la connexion TLS et permettre des attaques de l’homme du milieu, où les communications entre deux parties sont interceptées. Cela peut conduire à la divulgation de données sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété permet d’activer la vérification du type MIME pour les chargements.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.security.file.mime_type.validation » n’est pas défini sur la valeur recommandée vrai, la validation du type MIME pour les pièces jointes de fichier n’a pas lieu, ce qui peut entraîner le chargement de types de fichiers malveillants.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.soapfault.display_stack_trace » n’est pas défini sur la valeur recommandée « Faux », une trace de pile dans un élément détaillé d’erreur SOAP s’affiche.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’affichage des traces de la pile aux utilisateurs peut entraîner la divulgation d’informations sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.soap.require_content_type_xml » n’est pas défini sur la valeur recommandée « vrai », il n’y a aucune validation pour la demande SOAP.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Ce manque de validation peut permettre des attaques de contrefaçon de requête intersite (CSRF), permettant à des acteurs malveillants d’inciter les utilisateurs authentifiés à envoyer des demandes SOAP non autorisées.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « glide.service_portal.enable_acls_for_encoded_query_in_list » n’est pas définie sur « vrai », un utilisateur peut être en mesure de contourner l’évaluation des ACL sur une condition de requête dans le widget de liste simple.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Il est recommandé d’évaluer les ACL dans les requêtes pour s’assurer qu’un utilisateur a accès aux champs interrogés afin d’éviter toute fuite de données non autorisée.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide glide.sys.permissive.impersonate est définie sur la valeur faux, seuls les utilisateurs ayant le rôle administrateur peuvent emprunter l’identité. Lorsque cette valeur est définie sur vrai, les utilisateurs peuvent être en mesure de faire

    utilisation de composants d’application qui exposent des API d’emprunt d’identité pour emprunter l’identité d’un utilisateur possédant des privilèges supérieurs.

• Correction
  • (Ancien)

    Assurez-vous que la propriété Glide glide.sys.permissive.impersonate est définie sur la valeur faux. Si cette propriété n’existe pas, la valeur par défaut est faux. Cette valeur peut être remplacée par une valeur sûre. Si la propriété est définie sur faux, elle ne peut pas être modifiée à l’avenir.

  • (Nouveau)

    Assurez-vous que la propriété Glide glide.sys.permissive.impersonate est définie sur la valeur faux. Si cette propriété n’existe pas, la valeur par défaut est faux. Cette valeur peut être remplacée par une valeur sûre. Si la propriété est définie sur faux, elle ne peut pas être modifiée à l’avenir.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Peut entraîner un accès non autorisé aux ressources si ces composants d’application sont mal configurés.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.basicauth.required.wsdl » n’est pas définie sur la valeur conseillée « vrai », l’authentification de base pour les demandes WSDL est alors désactivée. WSDL est un protocole utilisé pour décrire les services Web tels que des schémas de table d’instance, et n’est pas un mécanisme de partage des données au sein de tables. Définir cette propriété sur « vrai » permet la divulgation des schémas de table aux utilisateurs non authentifiés.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux demandes WSDL, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, présente un risque d’exposition non autorisée du schéma de table.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « sn_hr_core.restrict_guest_email » n’est pas définie sur « vrai », un utilisateur peut envoyer un e-mail à partir d’un compte personnel faisant référence au ticket RH à inclure dans les notes de travail. Cela peut entraîner des problèmes mineurs de confidentialité ou d’intégrité si l’e-mail personnel est compromis ou si la communication n’est pas sécurisée. Un administrateur peut vouloir restreindre la capacité des utilisateurs à répondre aux tickets RH via leur e-mail personnel, car il ne peut pas être sûr de l’identité de l’utilisateur qui accède au compte de messagerie personnel.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela crée un risque de problèmes mineurs de confidentialité et d’intégrité car les comptes de messagerie personnels peuvent être non sécurisés ou compromis, et les administrateurs ne peuvent pas vérifier l’identité ou la posture de sécurité de ces comptes. Autoriser ce comportement affaiblit le contrôle sur les communications RH sensibles et augmente l’exposition aux fuites de données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Délai en secondes avant l’expiration d’un jeton de sécurité. Lorsque la session utilisateur expire, le jeton de sécurité expire avec elle, sauf si la propriété « Autoriser la réutilisation des jetons expirés » est activée et s’il est compris dans la période décrite dans cette propriété. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. (la valeur par défaut est 86 400 secondes ou 1 jour)

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    La limite de temps d’expiration d’un jeton CSRF définit la durée pendant laquelle le jeton reste valide pour vérifier les demandes légitimes des utilisateurs ; Si la valeur est trop longue, elle augmente le risque qu’un attaquant réutilise un jeton volé pour effectuer des actions non autorisées, tandis qu’une fenêtre d’expiration plus courte réduit ce risque en réduisant la fenêtre d’attaque.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété Glide « glide.basicauth.required.soap » contrôle si l’authentification de base est requise pour effectuer une demande SOAP à une instance. Si « glide.basicauth.required.soap » n’est pas défini sur la valeur recommandée « vrai », les utilisateurs non authentifiés effectuant des opérations SOAP sont alors mappés à l’utilisateur soap.guest. Cela peut permettre à un utilisateur non authentifié d’effectuer des opérations sur l’instance comme s’il s’agissait d’un utilisateur connecté à l’instance. Il peut y avoir un impact supplémentaire si l’utilisateur défini dans « com.glide.soap.guest_user » se voit attribuer des rôles supplémentaires.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’exportation SOAP, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, présente un risque important d’exposition non autorisée des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété Glide « glide.knowman.show_user_feedback » n’est pas définie sur « jamais », les commentaires des utilisateurs ayant les rôles définis dans la propriété Glide « glide.knowman.show_user_feedback.roles » sont visibles sur les articles de la base de connaissances. En raison des informations potentiellement sensibles contenues dans un commentaire de feedback, un administrateur d’instance peut ne pas souhaiter que le commentaire soit visible.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si cette propriété n’est pas définie sur « jamais », il pourrait y avoir des impacts sur la confidentialité si des informations sensibles sont divulguées dans les commentaires.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.security.strict.user_image_upload » n’est pas défini sur la valeur recommandée « vrai », les ACL ne sont pas appliquées lors des chargements d’images dans le champ Photo. Lorsque la propriété est définie sur vrai, les ACL de table sont appliquées lors du chargement de photos, ce qui permet uniquement aux utilisateurs autorisés de charger une image.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un utilisateur non autorisé peut télécharger une image sur le profil d’un autre utilisateur.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété affecte l’expiration du cookie. Après chaque authentification réussie, le cookie expire après le nombre de jours spécifié comme valeur de propriété. Si « glide.ui.user_cookie.life_span_in_days » n’est pas défini sur la valeur recommandée de 15 ou moins, le risque est plus élevé que le cookie, s’il est volé, puisse être utilisé plus longtemps.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une durée de vie plus longue augmente la fenêtre de temps pendant laquelle un cookie volé sera utilisé.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.basicauth.required.api » n'est pas défini sur la valeur recommandée « vrai », cela désactive l'authentification de base sur la demande d'API et entraîne un accès non authentifié aux données d'instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’API, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, pose un risque important d’exposition non autorisée des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.ui.url.external.content » n’est pas défini sur la valeur recommandée « faux », la messagerie instantanée de Connexion récupère les métadonnées de liens externes pour enrichir le contenu des messages avec des liens vers YouTube, des articles, des images...

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela peut entraîner des attaques de falsification de requête côté serveur (SSRF).

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque cette propriété est définie sur « vrai », les rôles marqués comme « privilégiés » doivent toujours être élevés manuellement par un utilisateur administrateur lors de la création d’une nouvelle session pour que les options du rôle soient accordées à l’utilisateur. Lorsque la valeur est « faux », les rôles marqués comme « privilégiés » sont automatiquement élevés lors de la nouvelle session d’un utilisateur administrateur et n’ont pas besoin d’être élevés manuellement (à l’exception de « security_admin »). Définir cette propriété sur valeur sécurisée ajoutera une couche supplémentaire de validation de sécurité à l’élévation de rôle par utilisateur privilégié.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela risque une utilisation abusive des privilèges ou l’exécution accidentelle d’actions à fort impact. Exiger une élévation manuelle ajoute un point de contrôle de sécurité délibéré qui permet d’empêcher tout accès non autorisé ou involontaire aux options sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle la journalisation des débogages pour l’authentification unique (SSO) à fournisseurs multiples.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les fonctionnalités de débogage MultiSSO peuvent entraîner une fuite d’informations sensibles involontaire.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.ui.secure_cookies » n’est pas défini sur la valeur recommandée « vrai », la sécurité supplémentaire des cookies et la validation stricte des cookies ne sont pas effectuées.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela pourrait permettre à un attaquant de contourner la validation des cookies, ce qui entraînerait un accès non autorisé aux ressources.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contient le nom de classe Java du gestionnaire de sécurité Java actuel. ServiceNow a normalisé le gestionnaire de sécurité contextuelle. Si « glide.security.manager » n’est pas défini sur la valeur recommandée de « com.glide.sys.security.ContextualSecurityManager », l’instance peut utiliser un gestionnaire de sécurité Java obsolète dont les politiques de sécurisation renforcée attendues sont manquantes.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Sans ce durcissement, un acteur malveillant disposant d’un accès à l’exécution de script peut exécuter du code à distance sur l’instance.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsqu’il est défini sur vrai, ce module d’extension limite l’accès à des plages IP spécifiques. À moins que l’accès public ne soit destiné à l’instance, les administrateurs doivent limiter l’accès aux blocs réseau IP qui leur sont affectés. Une liste d’exclusion (refuser) ou une liste d’inclusion (autoriser) d’adresses IP peut être créée via le contrôle d’accès à l’adresse IP (ip_access_list.do).

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Autoriser un accès public illimité à une instance ServiceNow sans configurer correctement le module d’extension Contrôle d’accès à l’adresse IP expose le système à un accès non autorisé et à une exploitation potentielle à partir de n’importe quelle adresse IP, ce qui compromet la sécurité au niveau du réseau et augmente la surface d’attaque.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété effectue l’authentification pendant la récupération des données des tables/pages sous la forme de données non téléchargées sur l’instance. Si la propriété « glide.basicauth.required.unl » n’est pas définie sur la valeur conseillée « vrai », l’authentification de base pour le processeur d’exportation de format UNL est alors désactivée. Cela peut également être combiné avec un rôle incorrect dans la propriété liée au guest_user, ce qui entraîne un accès non authentifié aux données d’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété peut autoriser un accès non authentifié pour décharger des exportations de données, en particulier lorsqu’elle est associée à des rôles d’utilisateur invité mal configurés, créant ainsi un risque sérieux d’exposition non autorisée de la configuration et des données de l’instance.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété effectue cette authentification lors de l’importation de sources de données dans les tables/pages d’instance. Il restreint tous les utilisateurs invités qui accèdent actuellement à ces données. Si la propriété « glide.basicauth.required.importprocessor » n’est pas définie sur la valeur conseillée « vrai », les utilisateurs non authentifiés peuvent accéder au processeur d’importation. Des contrôles d’accès supplémentaires, c’est-à-dire des ACL, sont toujours appliqués, mais cette valeur permet de traiter une demande d’importation d’un utilisateur invité et de ne pas les refuser sommairement.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété peut permettre à des utilisateurs non authentifiés de lancer des demandes d’importation via le processeur d’importation, contournant ainsi potentiellement les contrôles d’authentification initiaux et augmentant le risque de manipulation non autorisée de données malgré les ACL appliquées.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété détermine si l’authentification de base est requise pour appeler un processeur scripté. Tous les enregistrements auxquels le processeur scripté a accédé utilisent toujours d’autres contrôles d’accès, c’est-à-dire des ACL, avant de renvoyer des données. Si la propriété « glide.basicauth.required.scriptedprocessor » n’est pas définie sur la valeur conseillée « vrai », un attaquant peut accéder à des informations sensibles, par exemple si un utilisateur non authentifié (invité) tente d’accéder à un e-mail via l’sys_processor EmailDisplay.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété peut permettre à des utilisateurs non authentifiés d’appeler des processeurs scriptés, exposant potentiellement des informations sensibles malgré les ACL existantes.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le module d’extension « Sécurité contextuelle : gestion des rôles » permet de gérer les groupes d’utilisateurs et les rôles afin de protéger les informations grâce à des contrôles d’accès basés sur les rôles. Le module d’extension consolide efficacement les entrées en double pour les rôles hérités et sécurise un enregistrement/des informations à l’aide des fonctionnalités de création, de lecture, d’écriture et de suppression. Après son installation et son activation, les rôles de dictionnaire (créés par Simple Security Manager) ne sont plus testés. Au lieu de cela, Now Platform recherche les règles ACL sur les champs et les tables. Il sécurise les données à l’aide de règles ACL au lieu des règles de dictionnaire traditionnelles basées sur les rôles implémentées par Simple Security Manager. Même si vous configurez le formulaire de dictionnaire et ajoutez des rôles à une entrée de dictionnaire, aucun changement de droits ne se produit.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la transition complète vers les contrôles basés sur les ACL est impossible, les données sensibles risquent d’être exposées en raison de configurations de rôle de dictionnaire négligées ou obsolètes.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsqu’un utilisateur est marqué comme « Mot de passe doit être réinitialisé », il doit fournir un nouveau mot de passe lors de la prochaine tentative d’authentification. Cette propriété contrôle si la réinitialisation du mot de passe est obligatoire avant d’effectuer des appels d’API. Si la propriété « glide.authenticate.api.user.reset_password.mandatory » n’est pas définie sur la valeur conseillée « vrai », les comptes utilisateur marqués comme « Mot de passe doit être réinitialisé » peuvent toujours effectuer les opérations les plus courantes en interrogeant l’API de table via l’authentification de base.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela pourrait permettre la divulgation d’informations en cas de compromission de comptes périmés.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.security.sandbox_no_logging » est défini sur « faux », la connexion est disponible pour les utilisateurs ayant peu de privilèges à l’aide de scripts bac à sable. Cette propriété contrôle la capacité du système Glide à consigner les scripts en cours d’exécution dans l’environnement sandbox.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un utilisateur ayant peu de privilèges pourrait injecter des journaux, ce qui lui permettrait d’obfusquer une attaque.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété assure que les includes de script pouvant être appelés par le client, également appelés includes de script Ajax, ne sont pas automatiquement mis à la disposition des utilisateurs non authentifiés. Si « glide.script.ccsi.ispublic » n’est pas défini sur la valeur recommandée « Faux », des includes de script peuvent être exécutés en tant que scripts publics et des utilisateurs non authentifiés peuvent accéder aux données d’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une logique métier ou des données sensibles sont potentiellement exposées, ce qui augmente le risque d’accès non autorisé aux ressources d’instance.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.export.query.enforce_field_acl » est définie sur « vrai », les ACL de champ sont vérifiées par rapport à la requête entrante et rejettent la requête si l’utilisateur n’est pas autorisé. Si la propriété est définie sur faux, les ACL NE sont PAS vérifiées par rapport à la requête entrante et continuent de s’exécuter.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela peut entraîner la divulgation d’informations à des parties non autorisées.

Impact fonctionnel

• (Ancien)

  Applique la durée de vie maximale sur les sessions HTTP authentifiées actives, quel que soit le délai d’expiration inactif. La valeur configurée est en minutes. Une valeur de zéro désactive l’expiration des sessions actives. La durée de vie maximale doit être supérieure au délai d’inactivité glide.ui.session_timeout (30 minutes par défaut).

• (Nouveau)

  Applique la durée de vie maximale sur les sessions HTTP authentifiées actives, quel que soit le délai d’expiration inactif. La valeur configurée est en minutes. Une valeur de zéro désactive l’expiration des sessions actives. La durée de vie maximale doit être supérieure au délai d’inactivité glide.ui.session_timeout (30 minutes par défaut).

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « glide.email.email_with_no_target_visible_to_all » n'est pas définie sur la valeur conseillée, faux, les utilisateurs de niveau inférieur ont alors accès aux e-mails qui ne sont pas les leurs.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les e-mails qui ne comportent pas d’enregistrement cible spécifique peuvent devenir visibles par tous les utilisateurs, ce qui entraîne un accès non autorisé à des communications potentiellement sensibles et viole les principes de moindre privilège et de confidentialité des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle la fonctionnalité de récupération de compte qui lie la possibilité de contourner l’authentification unique aux administrateurs spécifiquement désignés. Si la propriété « glide.sso.acr.enabled » n’est pas définie sur la valeur conseillée « vrai », les connexions interactives locales (basées sur le nom d’utilisateur ou le mot de passe) restent activées lorsque l’authentification unique est activée sur l’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’élimination des connexions interactives locales réduit le risque d’accès non autorisé à l’instance.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété contrôle l’autorisation de base pour les demandes RSS entrantes. Si « glide.basicauth.required.rss » n’est pas défini sur la valeur recommandée « vrai », cela désactive l’authentification de base pour le processeur d’exportation de format RSS. Cela peut également être combiné avec un rôle incorrect dans la propriété liée au guest_user, ce qui entraîne un accès non authentifié aux données d’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’exportation RSS, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, présente un risque important d’exposition non autorisée des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.basicauth.required.csv » n’est pas défini sur la valeur recommandée « vrai », cela désactive l’authentification de base pour le processeur d’exportation de format CSV. Cela se produit également lorsqu’il est combiné avec un rôle incorrect dans la propriété connexe guest_user (p. ex., rôle avec des privilèges élevés). Cela entraîne un accès non authentifié aux données d’instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’accès non authentifié aux données d’exportation CSV, lorsqu’il est combiné à un rôle d’utilisateur invité mal configuré, présente un risque important d’exposition non autorisée des données.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété password_reset.request.max_attempt_window définit le nombre de minutes pendant lesquelles un utilisateur doit patienter avant de réinitialiser ou de changer son mot de passe après avoir dépassé le nombre maximal de tentatives infructueuses défini avec la propriété password_reset.request.max_attempt.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une valeur trop faible augmente le risque d’attaque par force brute réussie d’un mot de passe, car un plus grand nombre de tentatives de réinitialisation du mot de passe peuvent être effectuées.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « password_reset.sms.default_complexity » n’est pas défini sur la valeur conseillée de « 6 » ou supérieure, un jeton de validation SMS faible est utilisé.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela augmente la possibilité de deviner des jetons, ce qui pourrait conduire à la prise de contrôle du compte.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « password_reset.sms.max_per_day » désigne le nombre maximal de codes SMS envoyés pour vérification par jour pour un utilisateur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la valeur est trop élevée, il sera plus facile pour les attaquants d’effectuer une attaque par force brute du code SMS.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le captcha pour l’expérience de visite des invités empêche les utilisateurs invités non authentifiés de créer des réservations en exigeant qu’ils effectuent une vérification captcha. Si le captcha n’est pas activé, cela peut entraîner une création automatisée de courrier indésirable

    les rendez-vous pour submerger le système ou remplir toutes les places de réservation disponibles, créant ainsi une attaque par déni de service.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cela expose le système à des spams de rendez-vous et à des attaques d’épuisement des ressources, remplissant potentiellement tous les créneaux de réservation disponibles et provoquant un déni de service (DoS). Sans CAPTCHA, la plateforme ne dispose pas d’un contrôle critique pour empêcher les abus automatisés et maintenir la disponibilité du service.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « password_reset.request.success_window » n'est pas définie sur la valeur conseillée de « 1 440 » ou moins, il est alors plus probable qu'une autre personne abuse de la fonctionnalité de réinitialisation du mot de passe pour obtenir un accès non autorisé à un compte utilisateur.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    La limitation de la fenêtre de réussite réduit les risques d’abus et renforce la sécurité de la récupération du compte.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le journal d’audit de la commande du serveur MID suit des détails tels que le nom de la commande, le hachage de la commande, le nom des informations d’identification utilisées et l’état d’exécution. Lorsque cette option est activée, les utilisateurs disposant du rôle agent_security_admin peuvent afficher ces journaux dans la table Journaux d’audit des commandes du serveur MID [ecc_agent_command_audit_log]. Accédez à tous les journaux d’audit de > de serveur MID > > journaux d’audit de commande pour afficher cette table.

• Correction
  • (Ancien)

    Définissez mid.log.command_audit.enable sur « vrai » dans la table ecc_agent_property pour activer l’audit des commandes exécutées par le serveur MID. Consultez la documentation suivante pour modifier cette propriété de serveur MID : https://docs.servicenow.com/csh?topicname=mid-audit-log.html&version=latest

  • (Nouveau)

    Définissez la propriété mid.log.command_audit.enable sur vrai dans la table Propriétés du serveur MID [ecc_agent_property] pour chaque serveur MID afin d’activer l’audit des commandes exécutées par le serveur MID. Pour plus d’informations sur la définition de cette propriété, consultez https://docs.servicenow.com/csh?topicname=midaudit-log.html&version=latest

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    En cas d’enquête de sécurité, cette table peut être utilisée par les équipes de réponse aux incidents pour auditer les commandes exécutées sur le serveur MID. Sans ce journal, il n’y aurait peut-être pas suffisamment de détails pour répondre à des situations telles que l’utilisation non autorisée d’un compte.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Aucun

• Score CVSS
  • (Ancien)

    2.2

  • (Nouveau)

    4.4

• Dépendances et prérequis
  • (Ancien) <vide>
  • (Nouveau)

    Ce paramètre s’applique uniquement aux instances utilisant un serveur MID (Management, Instrumentation, and Discovery) actif. Un serveur MID permet la communication et le mouvement de données entre une instance ServiceNow et des applications, sources de données et services externes. La configuration d’un serveur MID nécessite le téléchargement du package de serveur MID sur un hôte Linux ou Windows, la configuration de la connexion avec l’instance ServiceNow donnée et la configuration de paramètres supplémentaires. Des informations et des références peuvent être trouvées sur https://www.servicenow.com/docs/csh?topicname=mid-serverlanding.html&version=latest. Une fois installé, un serveur MID apparaît sous la forme d’un enregistrement dans la table MID Servers (Serveurs MID) [ecc_agent] lors de la connexion de l’instance.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Booléen

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    faux

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.security.url.whitelist.strict_check » n’est pas défini sur la valeur recommandée « vrai », toutes les URL externes sont autorisées à être redirigées lorsque « glide.security.url.whitelist » est vide. Si « glide.security.url.whitelist » n’est pas vide, seules les URL externes de la liste d’inclusion sont autorisées. Ainsi, définir « glide.security.url.whitelist.strict_check » sur vrai OU s’assurer que « glide.security.url.whitelist » est défini sur une valeur non vide avec les URL externes autorisées laisse l’instance dans un état sécurisé.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si toutes les URL externes sont autorisées à être redirigées, cela pourrait permettre à un attaquant de rediriger un utilisateur vers un site Web malveillant.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.secure_cookie.debug » n’est pas défini sur la valeur par défaut « false », les messages de débogage dans les classes SecureUserCookie et Cookie sont enregistrés dans le journal localhost.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    La journalisation des messages de débogage à partir de la classe SecureUserCookie et Cookie peut entraîner la divulgation d’informations sensibles.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété « com.glide.attachment.max_size » contrôle la taille maximale de la pièce jointe chargée. Remarque : une taille réelle de pièce jointe est calculée en multipliant 10241024valeur de la propriété « com.glide.attachment.max_size ». Si la valeur de la propriété « com.glide.attachment.max_size » est 1 024, la taille maximale autorisée de la pièce jointe est de 1 Go.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    La plate-forme peut accepter des fichiers volumineux qui pourraient remplir le stockage ou provoquer un déni de service.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Le module d’extension Filtres d’e-mail (com.glide.email_filter) installe le filtrage des e-mails dans l’instance. Ce filtrage identifie les en-têtes existants, ce qui permet à l’administrateur de décider de l’action à exécuter avec l’e-mail en fonction de l’en-tête associé. Ce module d’extension ajoute un en-tête à chaque message. L’en-tête peut être utilisé pour le filtrage au sein de l’instance. Cette fonctionnalité est très utile pour filtrer le spam. Remarque : veuillez vous assurer que la propriété prérequise « glide.email.read.active » est définie sur vrai, car ce contrôle s’applique uniquement lorsque l’e-mail entrant est activé.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    L’activation et la configuration du filtrage des e-mails sont essentielles pour réduire l’exposition au spam et maintenir l’intégrité du système.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété « com.glide.snap.infected_download_allowed » est définie sur « vrai », les utilisateurs peuvent toujours télécharger des pièces jointes non analysées au cas où le service antivirus serait en panne ou inaccessible.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un utilisateur peut télécharger un fichier malveillant sur son bureau.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si « glide.sg.allow_rooted_jailbroken_device » n’est pas défini sur la valeur recommandée « faux », l’application mobile permet aux utilisateurs d’utiliser l’application à partir d’équipements mobiles jailbreakés ou rootés. Les appareils mobiles jailbreakés ou rootés exécutent un code non approuvé au niveau du système qui peut contourner le modèle de sécurité de la plateforme sur lequel reposent nos applications mobiles. Définir « allow_rooted_jailbroken_device » sur « faux » permet à une vérification côté client limitée d’afficher un message d’erreur à l’utilisateur s’il tente d’utiliser l’application à partir de l’un de ces appareils. Cette configuration est mappé à l’exigence MASVS v1.4.2 8.1 au niveau R.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Autoriser les appareils mobiles rootés ou jailbreakés augmente considérablement le risque de vol d’informations d’identification, de fuite de données et d’exécution de code malveillant.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Lorsqu’un jeton d’accès OAuth est émis, la réponse inclut un cookie. Les utilisateurs peuvent utiliser ce cookie pour continuer à utiliser une session même après l’expiration du jeton OAuth utilisé pour créer cette session. Utilisez la propriété système glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled pour éviter cela.

• Correction
  • (Ancien)

    Assurez-vous que la propriété Glide glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled est définie sur

    valeur true. Lorsque l’enregistrement n’existe pas dans la table sys_properties, la valeur par défaut est faux. Un enregistrement est créé pour les instances nouvellement mises en service.

  • (Nouveau)

    Assurez-vous que la propriété système glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled existe dans la table Propriétés système [sys_properties] et qu’elle est définie sur la valeur true.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si un jeton OAuth est divulgué ou compromis, l’absence d’expiration permettrait à un attaquant d’utiliser et d’étendre la session via le cookie créé. Les utilisateurs malveillants peuvent utiliser les sessions pour accéder à des ressources non autorisées et effectuer des actions non autorisées. Définissez cette propriété sur la valeur sécurisée pour éliminer ce mécanisme d’extension de session masqué et réduire le risque de relecture en imposant l’expiration du jeton.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Impact lorsque la valeur est définie sur vrai : les sessions se terminent immédiatement à l’expiration du jeton d’accès. Les cookies n’actualisent plus la validité de la session. Les clients doivent utiliser des jetons d’actualisation ou s’authentifier à nouveau pour obtenir un nouveau jeton d’accès. Casse potentielle : les clients hérités ou les intégrations personnalisées reposant sur l’extension de session basée sur les cookies échouent après l’expiration du jeton. Les tâches de longue durée sans logique de renouvellement du jeton peuvent rencontrer des erreurs 401. Ce qui continue de fonctionner : flux OAuth standard avec jetons d’actualisation. Intégrations bien conçues qui renouvellent les jetons de manière proactive

• Score CVSS
  • (Ancien)

    5.4

  • (Nouveau)

    6.8

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Booléen

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    VRAI

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez les propriétés système glide.xml.entity.whitelist.enabled et glide.xml.entity.whitelist pour empêcher votre instance de traiter des entités externes XML provenant de sources non fiables. Les attaques d’entités externes XML (XXE) se produisent lorsqu’un acteur malveillant modifie le code XML entrant pour accéder à des données ou interagir avec des systèmes autrement restreints. Un attaquant peut utiliser la définition de type de document (DTD) pour inclure des requêtes HTTP arbitraires que le serveur peut exécuter. Cela pourrait entraîner des attaques supplémentaires utilisant la relation de confiance du serveur avec d’autres entités. Pour éviter ces attaques, la propriété système glide.xml.entity.whitelist.enabled limite les sources

    à partir duquel votre instance exécute XML. Utilisez la propriété glide.xml.entity.whitelist pour définir un ensemble de sources de confiance. La valeur de « glide.xml.entity.whitelist » définie sur « http://java.sun.com/j2ee/dtds/ » est une référence aux DTD (Document Type Definitions) fournies par Java EE (anciennement connu sous le nom de J2EE). Cette URL sert de point central où se trouvent les DTD standard pour les documents XML, qui définissent la structure, les éléments juridiques et les attributs des documents XML. REMARQUE : des valeurs autres que http://java.sun.com/j2ee/dtds/ peuvent être incluses dans la propriété glide.xml.entity.whitelist, mais ne sont pas nécessaires pour l’état de la plateforme prête à l’emploi. Examinez toutes les valeurs supplémentaires pour déterminer si elles sont sûres.

• Correction
  • (Ancien)

    Assurez-vous que la propriété Glide « glide.xml.entity.whitelist » existe et est définie sur « http://java.sun.com/j2ee/dtds/ » et que la propriété Glide « glide.xml.entity.whitelist.enabled » existe et est définie sur la valeur « vrai ». Si les propriétés n’apparaissent pas dans la table sys_properties, ajoutez de nouveaux enregistrements.

  • (Nouveau)

    Assurez-vous que la propriété système glide.xml.entity.whitelist existe dans la table Propriétés système [sys_properties] et qu’elle est définie sur http://java.sun.com/j2ee/dtds/. Assurez-vous que la propriété système glide.xml.entity.whitelist.enabled existe dans la table Propriétés système [sys_properties] et qu’elle est définie sur la valeur true.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une attaque XML Eternal Entity (XEE) peut permettre aux attaquants d’exfiltrer des données ou d’effectuer des actions non autorisées via des charges utiles XML fabriquées.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Les entités externes XML provenant de sources extérieures à la liste blanche ne seront pas traitées.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Liste séparée par des virgules, booléen

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « sn_kb_social_qa.max_subscriptions_per_user_daily » n’est pas définie sur la valeur conseillée de « 500 » ou moins, il n’y a alors aucune restriction sur le nombre maximum de Questions-réponses de réseaux sociaux auxquelles un utilisateur peut s’abonner par jour.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un trop grand nombre d’abonnements pourrait entraîner une insuffisance des ressources.

• Brève description
  • (Ancien)

    Le module d’extension Limiter les sessions interactives simultanées lorsque le module d’extension Limite de sessions simultanées est installé

  • (Nouveau)

    Limiter les sessions interactives simultanées avec le module d'extension de limite de sessions simultanées

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Cette propriété est destinée à être utilisée avec le module d’extension Limite de sessions simultanées (com.glide.limit.concurrent.sessions). Lorsque le module d’extension est actif et que la propriété est définie sur « faux », un utilisateur peut avoir n’importe quel nombre de sessions interactives simultanées sur une instance.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un plus grand nombre de sessions ouvertes signifie qu’il y a une grande possibilité de détournement de session.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « password_reset.request.unlock_window » contrôle le nombre de minutes pendant lesquelles un utilisateur doit attendre pour lancer une demande de réinitialisation après le dernier déverrouillage de compte réussi.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si la valeur est trop faible, cela augmente la possibilité pour un acteur malveillant d’effectuer une attaque par force brute du mot de passe de l’utilisateur à l’aide d’outils automatisés.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    La propriété « glide.authenticate.session_access.mobile.refresh_token_interval » régit la durée après laquelle un utilisateur d’appareil mobile est obligé de s’authentifier à nouveau. Cela s’applique uniquement si l’administrateur a configuré les attributs du fournisseur d’identité (qui peuvent varier pour chaque connexion) dans

    la politique d’accès à la session et l’utilisateur s’authentifie via l’authentification unique. La valeur de la propriété est un nombre entier en secondes. La valeur recommandée est 1 800 (30 minutes).

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Une valeur élevée peut permettre à un attaquant de détourner l’accès à la session dans un délai plus long.

Type de données

• (Ancien)

  Booléen

• (Nouveau)

  Chaîne

• Description
  • (Ancien)

    Utilisez les propriétés système pour empêcher un utilisateur empruntant l’identité d’afficher les données de l’application. Empêchez le niveau administrateur d’accéder aux données spécifiques de l’application appartenant à cet utilisateur lorsqu’il emprunte l’identité d’un compte. Cette autorisation peut être définie au niveau de l’application en créant une propriété système spécifique à l’application. Ces propriétés système utilisent le format de dénomination .impersonateCheck (par exemple, sn_hr_core.impersonateCheck). Créez une propriété système avec la valeur vrai pour empêcher les utilisateurs d’accéder aux données spécifiques à l’application appartenant à un autre utilisateur lorsqu’ils empruntent l’identité d’un compte. REMARQUE : toutes les applications ne sont pas conçues pour fonctionner dans cette configuration ou ne disposent pas d’un enregistrement Propriétés système [sys_properties] à cette fin. Les champs d’application suivants sont configurés pour fonctionner avec cette propriété. sn_opp_market sn_jny sn_imt_vaccine sn_imt_health_test sn_hr_core sn_egd_goals sn_egd_core sn_egd_act sn_em sn_talent_aia

  • (Nouveau)

    Utilisez les propriétés système pour empêcher un utilisateur empruntant l’identité d’afficher les données de l’application. Empêchez le niveau administrateur d’accéder aux données spécifiques de l’application appartenant à cet utilisateur lorsqu’il emprunte l’identité d’un compte. Cette autorisation peut être définie au niveau de l’application en créant une propriété système spécifique à l’application. Ces propriétés système utilisent le format de dénomination .impersonateCheck (par exemple, sn_hr_core.impersonateCheck). Créez une propriété système avec la valeur vrai pour empêcher les utilisateurs d’accéder aux données spécifiques à l’application appartenant à un autre utilisateur lorsqu’ils empruntent l’identité d’un compte. REMARQUE : toutes les applications ne sont pas conçues pour fonctionner dans cette configuration ou ne disposent pas d’un enregistrement Propriétés système [sys_properties] à cette fin. Les champs d’application suivants sont configurés pour fonctionner avec cette propriété. sn_opp_market sn_jny sn_imt_vaccine sn_imt_health_test sn_hr_core sn_egd_goals sn_egd_core sn_egd_act

    sn_em sn_talent_aia sn_ecn

• Correction
  • (Ancien)

    Pour chaque application ayant la propriété .impersonateCheck dans la table Propriétés système [sys_properties], assurez-vous que la valeur de la propriété est définie sur true. Ces propriétés ne peuvent être modifiées que par l’administrateur du champ d’application pour l’application spécifique. Utilisez ce script pour identifier les propriétés qui doivent être mises à jour ou créées sur l’instance :

    var properties = [ 'sn_opp_market.impersonateCheck', 'sn_jny.impersonateCheck', 'sn_imt_vaccine.impersonateCheck', 'sn_imt_health_test.impersonateCheck', 'sn_hr_core.impersonateCheck', 'sn_egd_goals.impersonateCheck', 'sn_egd_core.impersonateCheck',]

    ['sn_egd_act.impersonateCheck', 'sn_em.impersonateCheck', 'sn_talent_aia.impersonateCheck' ] ; var pm = nouveau GlidePluginManager() ; for (var i = 0 ; i < properties.length ; i++) { var property = properties[i] ; var application = property.split('.')[0]; var propertyValue = gs.getProperty(propriété, 'faux') ; if (pm.isActive(application) & propertyValue.toLowerCase() != 'true') { gs.print(property) ; } }

  • (Nouveau)

    Pour chaque application ayant la propriété .impersonateCheck dans la table Propriétés système [sys_properties], assurez-vous que la valeur de la propriété est définie sur true. Ces propriétés ne peuvent être modifiées que par l’administrateur du champ d’application pour l’application spécifique. Utilisez ce script pour identifier les propriétés qui doivent être mises à jour ou créées sur l’instance :

    var properties = [ 'sn_opp_market.impersonateCheck', 'sn_jny.impersonateCheck', 'sn_imt_vaccine.impersonateCheck', 'sn_imt_health_test.impersonateCheck', 'sn_hr_core.impersonateCheck', 'sn_egd_goals.impersonateCheck', 'sn_egd_core.impersonateCheck', 'sn_egd_act.impersonateCheck', 'sn_em.impersonateCheck', 'sn_talent_aia.impersonateCheck', 'sn_ecn.impersonateCheck' ] ; var pm = nouveau GlidePluginManager() ; for (var i = 0 ; i < properties.length ; i++) { var property = properties[i] ; var application = property.split('.')[0]; var propertyValue = gs.getProperty(propriété, 'faux') ; if (pm.isActive(application) & propertyValue.toLowerCase() != 'true') { gs.print(property) ; } }

• Impact fonctionnel
  • (Ancien)

    Les utilisateurs de niveau administrateur ne seront pas en mesure d'emprunter l'identité d'un autre utilisateur et d'afficher les données de cet utilisateur dans un contexte d'application spécifique.

  • (Nouveau)

    Les utilisateurs de niveau administrateur ne sont pas en mesure d’emprunter l’identité d’un autre utilisateur et d’afficher les données de cet utilisateur dans un contexte d’application spécifique.

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien)

    Sécurisez les images sur votre instance pour éviter toute fuite d’informations sensibles. Les images de votre instance sont accessibles via des URL se terminant par .iix. Définissez la propriété système glide.image_provider.security_enabled sur vrai pour empêcher l’accès à vos images via ces URL. [Remarque] Cette propriété n’est pas respectée pour les images de la table des pièces jointes si la table d’origine est l’une des suivantes : Papeterie [sysevent_email_style] Sections de page d’accueil [sys_home] Propriétés système [sys_properties]

  • (Nouveau)

    Utilisez la propriété glide.image_provider.security_enabled pour restreindre l’accès non authentifié aux pièces jointes d’image. Si la valeur est définie sur vrai, les images sont visibles par tout utilisateur authentifié, mais pas par les utilisateurs non authentifiés. Si la valeur est définie sur faux, les images sont visibles par toute personne disposant d’une URL vers la pièce jointe. Les miniatures d’une image jointe conservent la même politique que l’image jointe d’origine et sont accessibles au même ensemble d’utilisateurs que l’image jointe d’origine. Lorsque cette propriété est activée, un contrôle d’accès plus précis pour les utilisateurs non authentifiés est obtenu via des entrées dans la table des entités de la liste d’autorisation/de refus de sécurité [sys_security_restricted_list] et via la déclaration d’articles de base de connaissances publics pour les images jointes aux articles de la base de connaissances. Ces exceptions à la politique par défaut pour les utilisateurs non authentifiés lorsque cette propriété est vraie sont appliquées dans l’ordre suivant. Notez que dans ces exceptions, la « table parente » fait référence à la table de la pièce jointe de l’image d’origine à partir de laquelle une miniature est générée. 1. Si la table d’une image jointe ou la table parente d’une image miniature est mise sur liste de refus dans la table des entités de la liste d’autorisation/de refus de sécurité [sys_security_restricted_list], l’accès à l’image/à la miniature est refusé. 2. Si la table d’une image jointe ou la table parente d’une image miniature est inscrite sur la liste d’autorisation dans la table des entités de la liste d’autorisation/de refus de sécurité [sys_security_restricted_list], l’accès à l’image/à la miniature est accordé. 3. Si la table d’une image jointe ou la table parente d’une image miniature est incluse dans un article de la base de connaissances public, l’accès à l’image/à la miniature est accordé.

• Correction
  • (Ancien)

    Assurez-vous que la propriété « glide.image_provider.security_enabled » est définie sur « vrai ».

  • (Nouveau)

    Assurez-vous que la propriété « glide.image_provider.security_enabled » est définie sur « vrai ». Si la propriété n’existe pas dans la table « sys_properties », la valeur par défaut est

    « faux ».

• Risque de sécurité
  • (Ancien)

    La restriction doit être appliquée aux utilisateurs non authentifiés, car certaines pièces jointes peuvent contenir des informations sensibles.

  • (Nouveau)

    Si la propriété est définie sur false, les pièces jointes avec image sont visibles par toute personne authentifiée ou non authentifiée avec une URL vers la pièce jointe. Cela peut entraîner des fuites d’informations sensibles. Pour éviter cela, définissez la propriété sur vrai et assurez-vous que toutes les exceptions à la politique par défaut lorsque la propriété est vraie sont correctement configurées.

• Impact fonctionnel
  • (Ancien)

    Aucun impact significatif sur la fonctionnalité. L’expérience utilisateur peut être affectée, car l’utilisateur qui accédait auparavant directement à .iix doit passer par l’authentification.

  • (Nouveau)

    Si la propriété était précédemment false puis qu’elle est définie sur true, les utilisateurs non authentifiés ne peuvent plus accéder aux pièces jointes d’images sauf autorisation explicite à l’aide de l’une des procédures d’exclusion.

• Nom de la configuration technique
  • (Ancien)

    glide.enable.blacklist_password

  • (Nouveau)

    glide.enable.blacklist_password, blacklisted_password

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez la propriété glide.enable.blacklist_password pour surveiller les mots de passe de la liste de refus. Lorsque la propriété est définie sur vrai, le mot de passe de l’utilisateur est vérifié par rapport à une liste spécifique de mots de passe sur liste de refus. Ce refus empêche les utilisateurs d’utiliser un mot de passe provenant d’un ensemble de mots de passe violés. Vous pouvez gérer la liste en insérant des mots de passe dans la table Mot de passe exclu [blacklisted_password]. ServiceNow fournit une liste de mots de passe petite, moyenne ou grande qui peut être insérée dans la table Mot de passe exclu via la page d’interface utilisateur disponible dans Tous les > Gestion de la politique de mot de passe > de la liste d’exclusion. ServiceNow installe la petite liste de 5 000 mots de passe dans les nouvelles instances.

• Correction
  • (Ancien)

    Assurez-vous que la propriété « glide.enable.blacklist_password » est définie sur « vrai ».

  • (Nouveau)

    Assurez-vous que la propriété système glide.enable.blacklist_password est définie sur vrai et que la table Mot de passe exclu [blacklisted_password] contient un minimum de 5 000 enregistrements.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les attaquants ciblent souvent les mots de passe couramment utilisés ou précédemment exposés. Cela peut conduire à la compromission des comptes par bourrage d’informations d’identification ou attaques par force brute. L’application de vérifications des mots de passe sur liste de refus renforce la sécurité de l’authentification et réduit l’exposition aux attaques basées sur les informations d’identification.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Certains utilisateurs peuvent avoir des difficultés à choisir un mot de passe.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Booléen

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    VRAI

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien)

    Contrôlez le comportement des données d’application résidant dans des tables primaires en dehors de l’application. Lorsque la valeur de ces propriétés est true, seules les ACL spécifiques à l’application sont évaluées pour déterminer l’accès aux données d’application résidant dans ces tables. Toutes les applications ne sont pas conçues pour fonctionner dans cette configuration ou n’utilisent pas d’enregistrement de propriété système [sys_properties] à cette fin. Ces propriétés système utilisent la glide.enforce_security_scope. Format d’appellation. Par exemple, utilisez la propriété glide.enforce_security_scope.sn_hr_sp pour le périmètre Core du Centre des employés (sn_hr_sp). Les périmètres d’application suivants contiennent cette propriété : sn_doc sn_egd_act sn_egd_core sn_egd_goals sn_em sn_gsm sn_gsm_info_req sn_gsm_lic_prmt sn_gsm_lic_prmt_ex sn_gsm_soc_bnfts sn_hc_professional sn_hr_agent_ws sn_hr_ai_agents sn_hr_awa

    sn_hr_core sn_hr_ef sn_hr_er sn_hr_gen_ai sn_hr_hc sn_hr_le sn_hr_le_ent sn_hr_mii_base sn_hr_na_galileo sn_hr_pad sn_hr_pj sn_hr_sp sn_hr_va sn_hr_ws sn_imt_health_test sn_imt_tracing sn_imt_vaccine sn_ja sn_jny sn_lg_contracts sn_lg_matter sn_lg_ops sn_opp_market sn_professional sn_ svc_appl_info sn_svc_appl_pgm_mg sn_talent_aia sn_uni_req sn_uni_task

  • (Nouveau)

    Contrôlez le comportement des données d’application résidant dans des tables primaires en dehors de l’application. Lorsque la valeur de ces propriétés est true, seules les ACL spécifiques à l’application sont évaluées pour déterminer l’accès aux données d’application résidant dans ces tables. Toutes les applications ne sont pas conçues pour fonctionner dans cette configuration ou n’utilisent pas d’enregistrement de propriété système [sys_properties] à cette fin.

    Ces propriétés système utilisent la glide.enforce_security_scope. Format d’appellation. Par exemple, utilisez la propriété glide.enforce_security_scope.sn_hr_sp pour le périmètre Core du Centre des employés (sn_hr_sp). Les périmètres d’application suivants contiennent cette propriété : sn_doc sn_egd_act sn_egd_core sn_egd_goals sn_em sn_gsm sn_gsm_info_req sn_gsm_lic_prmt sn_gsm_lic_prmt_ex sn_gsm_soc_bnfts sn_hc_professional sn_hr_agent_ws sn_hr_ai_agents sn_hr_awa sn_hr_core sn_hr_ef sn_hr_er sn_hr_gen_ai sn_hr_hc sn_hr_le sn_hr_le_ sn_hr_mii_base sn_hr_na_galileo sn_hr_pad sn_hr_pj sn_hr_sp sn_hr_va sn_hr_ws sn_imt_health_test sn_imt_tracing sn_imt_vaccine sn_ja sn_jny ent

    sn_lg_contracts sn_lg_matter sn_lg_ops sn_opp_market sn_professional sn_svc_appl_info sn_svc_appl_pgm_mg sn_talent_aia sn_uni_req sn_uni_task sn_egd_lh sn_ecn sn_ni_core sn_hr_voice_aia

• Correction
  • (Ancien)

    Pour chaque application installée avec la propriété glide.enforce_security_scope dans la table Propriétés système [sys_properties], (par exemple, glide.enforce_security_scope.sn_hr_core), assurez-vous que la valeur de la propriété est définie sur vrai. Ces propriétés ne peuvent être modifiées que par l’administrateur du champ d’application pour l’application spécifique. Si un enregistrement sys_properties n’existe pas pour l’application donnée et la propriété respective, il doit être créé. Utilisez cette instance de script pour trouver quelles propriétés doivent être mises à jour ou créées sur l’instance : var properties = [ 'glide.enforce_security_scope.sn_uni_task', 'glide.enforce_security_scope.sn_uni_req', 'glide.enforce_security_scope.sn_svc_appl_info', 'glide.enforce_security_scope.sn_professional', 'glide.enforce_security_scope.sn_opp_market', 'glide.enforce_security_scope.sn_lg_ops', 'glide.enforce_security_scope.sn_lg_matter', 'glide.enforce_security_scope.sn_lg_contracts', « glide.enforce_security_scope.sn_jny », « glide.enforce_security_scope.sn_ja », « glide.enforce_security_scope.sn_imt_vaccine », « glide.enforce_security_scope.sn_imt_tracing », « glide.enforce_security_scope.sn_imt_health_test », « glide.enforce_security_scope.sn_hr_ws », « glide.enforce_security_scope.sn_hr_va », « glide.enforce_security_scope.sn_hr_sp », « glide.enforce_security_scope.sn_hr_pj », « glide.enforce_security_scope.sn_hr_pad », « glide.enforce_security_scope.sn_ hr_mii_base », « glide.enforce_security_scope.sn_hr_le », « glide.enforce_security_scope.sn_hr_le_ent », « glide.enforce_security_scope.sn_hr_hc », « glide.enforce_security_scope.sn_hr_gen_ai », « glide.enforce_security_scope.sn_hr_er », « glide.enforce_security_scope.sn_hr_ef », « glide.enforce_security_scope.sn_hr_core », « glide.enforce_security_scope.sn_hr_awa », « glide.enforce_security_scope.sn_hr_agent_ws », « glide.enforce_security_scope.sn_hc_professional », « glide.enforce_security_scope.sn_gsm_soc_bnfts », « glide.enforce_security_scope.sn_gsm_lic_prmt_ex », « glide.enforce_security_scope.sn_gsm_lic_prmt », « glide.enforce_security_scope.sn_gsm_info_req », « glide.enforce_security_scope.sn_gsm », « glide.enforce_security_scope.sn_em », « glide.enforce_security_scope.sn_egd_goals », « glide.enforce_security_scope.sn_egd_core », « glide.enforce_security_scope.sn_egd_act », « glide.enforce_security_scope.sn_doc », « glide.enforce_ security_scope.sn_talent_aia », « glide.enforce_security_scope.sn_hr_na_galileo », « glide.enforce_security_scope.sn_svc_appl_pgm_mg », « glide.enforce_security_scope.sn_hr_ai_agents », « glide.enforce_security_scope.sn_hr_mii_base » ] ; var pm = nouveau GlidePluginManager() ; for (var i = 0 ; i < properties.length ; i++) { var property = properties[i] ; var application = property.split('.')[2]; var propertyValue = gs.getProperty(propriété, 'faux') ; if (pm.isActive(application) & propertyValue.toLowerCase() != 'true') { gs.print(property) ; } }

  • (Nouveau)

    Pour chaque application installée avec la propriété glide.enforce_security_scope dans la table Propriétés système [sys_properties], (par exemple, glide.enforce_security_scope.sn_hr_core), assurez-vous que la valeur de la propriété est définie sur vrai. Ces propriétés ne peuvent être modifiées que par l’administrateur du champ d’application pour l’application spécifique. Si un enregistrement sys_properties n’existe pas pour l’application donnée et la propriété respective, il doit être créé. Utilisez cette fonction de script pour identifier les propriétés qui doivent être mises à jour ou créées sur l’instance :

    var properties = [ 'glide.enforce_security_scope.sn_uni_task', 'glide.enforce_security_scope.sn_uni_req', 'glide.enforce_security_scope.sn_svc_appl_info', 'glide.enforce_security_scope.sn_professional', 'glide.enforce_security_scope.sn_opp_market', 'glide.enforce_security_scope.sn_lg_ops', 'glide.enforce_security_scope.sn_lg_matter', 'glide.enforce_security_scope.sn_lg_contracts', 'glide.enforce_security_scope.sn_jny', 'glide.enforce_security_scope.sn_ja', ' glide.enforce_security_scope.sn_imt_vaccine », « glide.enforce_security_scope.sn_imt_tracing », « glide.enforce_security_scope.sn_imt_health_test », « glide.enforce_security_scope.sn_hr_ws », « glide.enforce_security_scope.sn_hr_va », « glide.enforce_security_scope.sn_hr_sp », « glide.enforce_security_scope.sn_hr_pj », « glide.enforce_security_scope.sn_hr_pad », « glide.enforce_security_scope.sn_hr_mii_base », « glide.enforce_security_scope.sn_hr_le », « glide.enforce_ security_scope.sn_hr_le_ent », « glide.enforce_security_scope.sn_hr_hc », « glide.enforce_security_scope.sn_hr_gen_ai », « glide.enforce_security_scope.sn_hr_er », « glide.enforce_security_scope.sn_hr_ef », « glide.enforce_security_scope.sn_hr_core », « glide.enforce_security_scope.sn_hr_awa », « glide.enforce_security_scope.sn_hr_agent_ws », « glide.enforce_security_scope.sn_hc_professional », « glide.enforce_security_scope.sn_gsm_soc_bnfts », « glide.enforce_security_ scope.sn_gsm_lic_prmt_ex », « glide.enforce_security_scope.sn_gsm_lic_prmt », « glide.enforce_security_scope.sn_gsm_info_req », « glide.enforce_security_scope.sn_gsm », « glide.enforce_security_scope.sn_em », « glide.enforce_security_scope.sn_egd_goals », « glide.enforce_security_scope.sn_egd_core », « glide.enforce_security_scope.sn_egd_act », « glide.enforce_security_scope.sn_doc », « glide.enforce_security_scope.sn_talent_aia », « glide.enforce_security_scope.sn_hr_na_ galileo', 'glide.enforce_security_scope.sn_svc_appl_pgm_mg', 'glide.enforce_security_scope.sn_hr_ai_agents', 'glide.enforce_security_scope.sn_egd_lh', 'glide.enforce_security_scope.sn_ecn', 'glide.enforce_security_scope.sn_ni_core', 'glide.enforce_security_scope.sn_hr_voice_aia', ] ;

    var pm = nouveau GlidePluginManager() ; for (var i = 0 ; i < properties.length ; i++) { var property = properties[i] ; var application = property.split('.')[2]; var propertyValue = gs.getProperty(propriété, 'faux') ; if (pm.isActive(application) & propertyValue.toLowerCase() != 'true') { gs.print(property) ; } }

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez la propriété système glide.script_processor.admin pour définir un rôle requis pour accéder au module Scripts - Arrière-plan. Si cette propriété n’est pas définie sur la valeur recommandée de background_script_admin ou sur un autre rôle avec des privilèges élevés, les utilisateurs ayant des rôles avec moins de privilèges peuvent exécuter des scripts en arrière-plan sur votre instance.

• Correction
  • (Ancien)

    Assurez-vous que la propriété « glide.script_processor.admin » est définie sur « admin ». Il s’agit de la valeur par défaut sur les instances.

  • (Nouveau)

    Assurez-vous que la propriété glide.script_processor.admin est définie sur background_script_admin. Il s’agit également de la valeur par défaut.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Les scripts en arrière-plan permettent un contournement complet du système d’ACL, ce qui permet un accès complet aux tables.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Les utilisateurs ne possédant pas le rôle spécifié dans la propriété ne peuvent pas accéder au module Scripts - Arrière-plan comme prévu.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Chaîne contenant un rôle d’utilisateur

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    background_script_admin

• Valeur de secours
  • (Ancien)

    administrateur

  • (Nouveau)

    background_script_admin

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Si la propriété « com.glide.communications.httpclient.verify_revoked_certificate » n’est pas configurée avec la valeur conseillée vrai, les vérifications de révocation de certificat sont ignorées pendant l’établissement de liaison TLS.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Cette omission sape un contrôle de sécurité critique, permettant potentiellement à un attaquant d’utiliser un certificat révoqué sans détection. Par conséquent, elle compromet l’intégrité de l’infrastructure à clé publique (PKI) et le modèle de confiance qui sous-tend les communications Web sécurisées.

• Brève description
  • (Ancien)

    Définir les adresses IP internes ServiceNow autorisées

  • (Nouveau)

    Réduire le champ d’application de la liste d’autorisation d’adresses IP pour une instance

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez la propriété glide.ip.authenticate.strict pour réduire le champ d’application de la liste d’autorisation d’adresses IP d’une instance et restreindre les adresses IP que le personnel ServiceNow peut utiliser pour établir des connexions entrantes/sortantes vers une instance. Les plages IP exactes retirées de la liste d’autorisation d’adresses IP par cette propriété peuvent être ajustées au fil du temps à mesure que

    Changements du réseau interne ServiceNow. Lorsque la valeur est définie sur vrai, glide.ip.authenticate.strict garantit toujours une liste d’adresses IP autorisées égale ou plus restrictive que la valeur par défaut. Lorsque glide.ip.authenticate.strict est défini sur vrai : une liste stricte de plages IP ServiceNow remplace les listes d’autorisation IP par défaut pour les demandes entrantes et sortantes. Cette liste d’adresses IP autorisées, qui commence par un ensemble prédéfini plus restrictif de plages IP autorisées, est remplacée par la propriété glide.ip.authenticate.allow.secured.self_hosted_list si l’instance est auto-hébergée. Lorsque glide.ip.authenticate.strict est défini sur faux : la liste d’adresses IP autorisées par défaut est utilisée, car elle contient un ensemble plus large de plages d’adresses IP ServiceNow. La liste d’adresses IP autorisées par défaut est remplacée par le contenu de glide.ip.authenticate.allow.self_hosted_list si l’instance est auto-hébergée. Remarque : quelle que soit la valeur de glide.ip.authenticate.strict ou si l’instance est auto-hébergée, la liste d’autorisation inclut les adresses IP dans les propriétés système glide.custom.ip.authenticate.allow et glide.custom.ip.outbound.authenticate.allow, si définies. Toutes les propriétés de la liste d’adresses IP partagent le même format, c’est-à-dire une plage d’adresses IP séparées par des virgules au format IPv4 ou IPv6. Les plages IP sont spécifiées à l’aide d’un tiret (10.0.10.14-10.0.10.19), à l’aide de la notation CIDR (10.0.10.0/24) ou se composent d’une seule adresse IP (10.0.10.5). Lors de l’exécution, vous pouvez ajouter des éléments à la liste d’autorisation d’adresses IP en ajoutant des entrées à la table Contrôle d’accès à l’adresse IP [ip_access]. Cette table peut également être utilisée pour refuser explicitement l’accès aux plages IP à une instance.

• Correction
  • (Ancien)

    Assurez-vous que la propriété « glide.ip.authenticate.allow.secured » contient uniquement des valeurs fiables et que la propriété « glide.ip.authenticate.strict » est définie sur « vrai ».

  • (Nouveau)

    Assurez-vous que la propriété glide.ip.authenticate.strict est définie sur vrai. Si la propriété n’existe pas dans la table Propriétés système [sys_properties], la valeur par défaut est faux.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Un accès élargi augmente le risque d’accès non autorisé ou inutile à l’instance par des utilisateurs internes non essentiels, tels que le personnel d’assistance ou de vente, et réduit le contrôle sur l’accès privilégié. L’application d’une authentification IP stricte limite la connectivité aux infrastructures essentielles, renforce la sécurité et réduit l’exposition aux menaces internes ou aux mauvaises configurations.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Cela ne devrait avoir aucun impact fonctionnel. Elle peut restreindre l’accès du personnel ServiceNow non essentiel à une instance. Cependant, il s’agit de personnes qui n’ont généralement pas besoin d’accéder à de telles instances. Si l’accès est requis, vous pouvez l’accorder au cas par cas à l’aide de la table Contrôles d’accès à l’adresse IP [ip_access].

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    booléen

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    faux

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez la propriété système com.glide.security.referrerpolicy pour contrôler quelles informations sont incluses dans l’en-tête HTTP du référent sur Now Platform. Les données incluses dans l’en-tête référent, conformément à la politique de cette propriété, sont l’origine, le chemin et les chaînes de requête de l’URL référente complète. Ces valeurs sont les valeurs de politique de référent standardisées prises en charge par le protocole HTTP avec l’ajout de l’attribut

    la valeur « par défaut ». Selon la politique définie par cette propriété, l’en-tête de référent peut inclure des informations sensibles sur ou provenant de l’entité qui effectue la demande.

• Correction
  • (Ancien)

    Assurez-vous que la propriété Glide « com.glide.security.referrerpolicy » est définie sur « par défaut ».

  • (Nouveau)

    Assurez-vous que la propriété système com.glide.security.referrerpolicy est définie sur l’une des valeurs suivantes : « default », « same-origin », « origin-when-cross-origin » ou « strict-originwhen-cross-origin »

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété système com.glide.security.referrerpolicy est définie sur no-referrer-when-downgrade ou unsafe-url, l’en-tête de référent d’une demande à un site différent de l’origine inclut l’URL complète de la page de référence effectuant la demande. L’URL de référent complète partagée avec des sites externes peut contenir des informations sensibles provenant de votre instance ou à son sujet. Cela peut entraîner des fuites de données et des violations de la vie privée. Lorsque la propriété est définie sur no-referrer, origin ou strict-origin, l’en-tête référent n’est pas inclus ou inclut uniquement la partie origine de l’URL référente lorsque les demandes sont envoyées à l’origine. Ce changement peut entraver les efforts visant à tracer les chemins d’attaque dans les journaux lorsqu’un incident de sécurité se produit, car l’origine exacte d’une demande ne peut pas être déterminée facilement. Une configuration correcte de cette propriété est essentielle pour empêcher la divulgation non autorisée d’identificateurs internes ou de paramètres confidentiels tout en permettant des enquêtes sur les incidents de sécurité.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Lorsque la propriété système com.glide.security.referrerpolicy est définie sur no-referrer, origin ou strict-origin, l’en-tête référent n’est pas inclus ou inclut uniquement la partie origine de l’URL référente lorsque les demandes sont envoyées à l’origine. Ce changement peut interrompre les fonctionnalités qui nécessitent ces données. Certains sites comme YouTube exigent que les demandes de liens intégrés incluent au moins l’origine dans l’en-tête référent (par exemple, la politique « origin-when-cross-origin »). La valeur appropriée de cette propriété dépend du propriétaire de l’instance et du ticket d’utilisation. Celles que nous recommandons sont décrites ici. Ces stratégies sont sécurisées et n’interrompent pas les fonctionnalités du système de base. De plus amples renseignements sur ces politiques et les autres politiques normalisées sont disponibles à https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Referrer-Policy. default : fonctionnellement égal à la définition de la valeur sur same-origin same-origin : envoie l’origine, le chemin et la chaîne de requête pour les demandes de même origine. N’envoie pas l’en-tête de référent pour les demandes d’origines croisées. origin-when-cross-origin : lors de l’exécution d’une demande de même origine, envoie l’origine, le chemin et la chaîne de requête. Envoie uniquement l’origine des requêtes cross-origin et des requêtes vers des destinations moins sécurisées (de HTTPS à HTTP). strict-origin-when-cross-origin : envoie l’origine, le chemin et la chaîne de requête lors de l’exécution d’une demande de même origine. Pour les demandes d’origine croisée, envoie l’origine uniquement lorsque le niveau de sécurité du protocole reste le même (de HTTPS à HTTPS). N’envoie pas l’en-tête référent vers des destinations moins sécurisées (de HTTPS à HTTP).

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    chaîne

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    Par défaut

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Brève description
  • (Ancien)

    Activer la liste des URL autorisées pour la communication cross-origin entre iFrame

  • (Nouveau)

    Restreindre les domaines autorisés pour la communication cross-origin entre iFrame

• Description
  • (Ancien) <vide>
  • (Nouveau)

    Utilisez la propriété glide.ui.concourse.onmessage_enforce_same_origin pour empêcher la communication d’origine croisée à partir de domaines non approuvés. Si la valeur recommandée n’est pas définie sur vrai, la validation de la messagerie cross-origin n’est pas effectuée. Si la valeur est définie sur vrai, les domaines répertoriés dans la propriété système glide.ui.concourse.onmessage_enforce_same_origin_whitelist peuvent propager des messages dans l’interface utilisateur. Utiliser

    glide.ui.concourse.onmessage_enforce_same_origin_whitelist pour contrôler les domaines autorisés.

• Correction
  • (Ancien)

    Assurez-vous que la propriété « glide.ui.concourse.onmessage_enforce_same_origin » est définie sur « vrai ».

  • (Nouveau)

    Assurez-vous que la propriété glide.ui.concourse.onmessage_enforce_same_origin existe dans la table Propriétés système [sys_properties] et qu’elle est définie sur true.

• Risque de sécurité
  • (Ancien) <vide>
  • (Nouveau)

    Si les gestionnaires d’événements d’une page Web n’effectuent pas de validation d’origine appropriée, une autre page Web ou un autre script, quelle que soit sa origine, peut communiquer avec elle. Ces pages ou scripts peuvent également lancer toute fonctionnalité exécutée par le gestionnaire d’événements. Cette propriété permet à des domaines externes potentiellement non approuvés d’envoyer des messages à l’instance ServiceNow, ce qui augmente le risque d’attaques d’origine croisée telles que le vol de données ou la manipulation de l’interface utilisateur.

• Impact fonctionnel
  • (Ancien) <vide>
  • (Nouveau)

    Si vous n’ajoutez pas les domaines prévus à la liste d’inclusion dans la propriété système glide.ui.concourse.onmessage_enforce_same_origin_whitelist, les messages d’origine croisée provenant de ce domaine ne sont pas autorisés.

• Type de données
  • (Ancien) <vide>
  • (Nouveau)

    Booléen

• Valeur prête à l’emploi
  • (Ancien) <vide>
  • (Nouveau)

    VRAI

• Valeur de secours
  • (Ancien)

    VRAI

  • (Nouveau)

    faux

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.

• Brève description
  • (Ancien)

    Définir la longueur minimale du mot de passe

  • (Nouveau)

    Exiger la longueur minimale et maximale du mot de passe

• Description
  • (Ancien)

    Si les politiques de mot de passe ne sont pas activées et appliquent une longueur minimale de mot de passe d’au moins 12 caractères, un utilisateur peut créer un mot de passe de moins de 12 caractères.

  • (Nouveau)

    Les politiques de mot de passe définissent les exigences relatives aux mots de passe que les utilisateurs créent sur votre instance. La longueur du mot de passe doit se situer dans la plage acceptée par le document NIST 800-63B.

• Correction
  • (Ancien)

    Pour chaque banque d’identifiants de mot de passe utilisée sur l’instance, assurez-vous qu’une politique de mot de passe est appliquée et que la politique de mot de passe exige une longueur minimale de mot de passe d’au moins 12 caractères. Pour chaque banque d’identifiants de mot de passe utilisée (table pwd_cred_store), assurez-vous que l’option « Activer la politique de mot de passe » est cochée dans l’enregistrement. Accédez ensuite à l’enregistrement Politique de mot de passe ( password_policy ) référencé dans le champ « Politique de mot de passe » de l’enregistrement de la banque d’identifiants de mot de passe. Assurez-vous que le champ « Longueur minimale du mot de passe » est défini sur au moins 12. Des instructions supplémentaires sur la configuration d’une politique de mot de passe peuvent être trouvées dans la documentation : https://www.servicenow.com/docs/csh?topicname=enable-passwordpolicies.html&version=latest.

  • (Nouveau)

    1. Assurez-vous qu’une politique de mot de passe est appliquée pour chaque banque d’identifiants de mot de passe utilisée sur votre instance : a. Pour chaque enregistrement de banque d’identifiants de mot de passe dans la table Banques d’informations d’identification de Réinitialisation du mot de passe [pwd_cred_store], assurez-vous que le champ Activer la politique de mot de passe est activé. 2. Assurez-vous que la politique de mot de passe impose une longueur minimale de mot de passe d’au moins 15 caractères et une longueur maximale de mot de passe d’au moins 64 caractères. a. Accédez à l’enregistrement Politique de mot de passe [password_policy] référencé dans le champ Politique de mot de passe de l’enregistrement. Assurez-vous que le champ Longueur minimale du mot de passe est défini sur au moins 15 et que le champ Longueur maximale du mot de passe est défini sur au moins 64. 3. Des instructions supplémentaires sur la configuration d’une politique de mot de passe peuvent être trouvées dans la documentation : https://www.servicenow.com/docs/csh?topicname=enable-passwordpolicies.html&version=latest.

• Risque de sécurité
  • (Ancien)

    Définir la propriété sur une valeur inférieure à 12 peut entraîner des problèmes de conformité et augmenter le risque qu’une personne malveillante réussisse à forcer des mots de passe par force brute.

  • (Nouveau)

    Autoriser des mots de passe trop courts ou pas assez longs peut entraîner des problèmes de conformité et augmenter le risque qu’une personne malveillante réussisse à forcer des mots de passe par force brute.

• Impact fonctionnel
  • (Ancien)

    D'un point de vue technique, l'instance ne subira aucun impact d'une longueur minimale de mot de passe de 12.

  • (Nouveau)

    Les instances ne subissent aucun impact d’une longueur minimale de mot de passe de 15 ou d’une longueur maximale de mot de passe de 64.

• Type de données
  • (Ancien)

    Entier

  • (Nouveau)

    Booléen et entier

• Valeur prête à l’emploi
  • (Ancien)

    8

  • (Nouveau)

    - La longueur minimale du mot de passe pour les enregistrements Politique de mot de passe [password_policy] est de 8 par défaut. La longueur maximale du mot de passe pour les enregistrements de politique de mot de passe [password_policy] est de 100 par défaut.

• Valeur de secours
  • (Ancien)

    8

  • (Nouveau)

    - La valeur de secours de la longueur minimale du mot de passe sur les enregistrements de politique de mot de passe [password_policy] est 8. La valeur de secours de la longueur maximale du mot de passe sur l’enregistrement de politique de mot de passe [password_policy] est 100.

Script de règle

(Nouveau) Script mis à jour pour améliorer la précision de la détection.