Paketaufrufe für Allow-Liste überprüfen (Härtung der Instanzsicherheit)

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Überprüfen und entfernen Sie die Paketaufrufeinträge der Aufnahmeliste nach Bedarf aus der Tabelle „sys_whitelist_package“.

    Paketaufrufeinträge können serverseitig auf Java-Ressourcen zugreifen, um anwendungsbasierte Vorgänge ohne entsprechende Validierung auszuführen. Da dies zu unbefugten Offenlegungen oder Änderungen von Kundendaten führen kann, stellt dies ein erhebliches Sicherheitsrisiko dar.

    Weitere Informationen

    Attribut Beschreibung
    Tabellenname sys_whitelist_package
    Hinweis:
    In den letzten Releases kann nur Kundenservice und Support auf diese Tabelle zugreifen. nicht einmal Administratoren sind dazu in der Lage.
    Konfigurationstyp Tabelle
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Zum Überprüfen und Entfernen von Einträgen aus dieser Tabelle.
    Empfohlener Wert In der Tabelle darf kein Datensatz vorhanden sein (die Liste muss leer sein).
    Funktionale Auswirkung (Niedrig) Es sollte keine Auswirkungen geben, solange die Ergebnisse der Ausführung des Tools zum Entfernen von Paketaufrufen überprüft und genehmigt werden.

    Um sicherzustellen, dass die Instanz ordnungsgemäß funktioniert, testen Sie die Änderungen in einer Nicht-Produktionsumgebung, bevor Sie sie in der Produktionsumgebung bereitstellen. Weitere Informationen finden Sie unter Tool zur Paketaufrufentfernung.
    Sicherheitsrisiko (Hoch) Clientseitige API-Aufrufe, die zum Datenabruf oder Objektzugriff auf dem Server führen, gelten aus Sicherheitsgründen als gefährlich. Validieren Sie diese Elemente für die Autorisierung und Einschränkung des Zugriffs auf vertrauliche Objekte.
    Workaround Wenden Sie sich an den Support von ServiceNow, um Unterstützung zu erhalten.

    Schritte zum Konfigurieren von

    1. Aktivieren Sie das Plugin „Packages Call Removal Tool“. Weitere Informationen finden Sie unter Tool zur Paketaufrufentfernung.
    2. Navigieren Sie im Filternavigator zu Pakete Dienstprogrammzur Entfernung von Aufrufen.
    3. Klicken Sie auf jedes Skript von (1) bis (4). Warten Sie auf die Ausgabe, und fahren Sie dann mit der nächsten fort.
    4. Sobald Sie das Skript (4) ausgeführt haben, wird eine Liste der betroffenen Felder auf der Seite „Paketaufruf-Elemente“ angezeigt.
    5. Lösen Sie alle Elemente in den Abschnitten „Vorgeschlagen“ und „Fehler“.
      Hinweis:
      Dieses Tool meldet möglicherweise einige Paketaufrufe, die in „sa_mapping_ext_commands“ und „sa_custom_operation“verwendet werden. Diese Paketaufrufe gehören zum MID Server. Da keine Klassen vorhanden sind, wird der Code in MID Server ausgeführt. Wenn Sie die folgenden Paketaufrufe im Abschnitt „Fehler“ finden, markieren Sie sie als Abgelehnt (Ignoriert). Das Tool meldet diesen Paketaufruf nicht mehr.
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content);
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name);
      • Packages.com.snc.sw.commands.HttpCallHandler;
      • Packages.com.snc.sw.dto.ProviderType.SSH
    6. Wenden Sie sich an den ServiceNow -Support, um weitere Korrekturen zu erhalten.