許可リストのメンバーコールの確認 (インスタンスセキュリティ強化)
必要に応じて、[sys_whitelist_member] テーブルから包含リストのメンバーコールエントリを確認し、削除します。
メンバーコールエントリは、サーバー側の Java リソースにアクセスして、適切な検証なしでアプリケーションベースの操作を実行できます。顧客データの不正な開示や改ざんを引き起こす可能性があるため、これはセキュリティ上の重大な問題になります。
詳細情報
| 属性 | 説明 |
|---|---|
| テーブル名 | sys_whitelist_member 注: 最近のリリースでは、ServiceNow の従業員のみがこのテーブルにアクセスできます。管理者でもアクセスできません。 |
| 構成タイプ | テーブル |
| Instance Security Center での構成 | あり |
| 目的 | このテーブルのエントリを確認して削除すること。 |
| 推奨値 | テーブルにはレコードが存在しないようにしてください (リストは空である必要があります)。 |
| 機能への影響度 | (低) パッケージコール削除ツールの実行時に生成された結果を確認および承認しているかぎり、影響はありません。 インスタンスが確実に正しく機能するようにするには、本番環境に展開する前に非本番環境でテストします。詳細は、「パッケージコール削除ツール」を参照してください。 |
| セキュリティリスク | (高) サーバー上のデータ取得またはオブジェクトアクセスという結果になるクライアント側 API 呼び出しは、セキュリティの観点から危険であると見なされます。機密オブジェクトへのアクセスを許可および制限するために、これらのアイテムを検証してください。 |
設定手順
注:
以下に示す手順は、次の「設定手順」セクションで説明されている手順と類似しています。
既に完了している場合は、これらの手順をスキップできます。
- パッケージ コール削除ツールプラグインをアクティブにします。詳細は、「パッケージコール削除ツール」を参照してください。
- フィルターナビゲーターを使用して、[パッケージコール削除ユーティリティ] に移動します。
- (1) ~ (4) の各スクリプトをクリックします。出力を待ってから、次の出力に進みます。
- スクリプト (4) を実行すると、影響を受けるフィールドのリストが [パッケージコールアイテム] ページに表示されます。
- [提案済み] および [エラー] セクションのすべてのアイテムを解決します。注:このツールは、
sa_mapping_ext_commandsおよびsa_custom_operationで使用されるいくつかのパッケージコールを報告する場合があります。これらのパッケージコールは MID Server に属します。クラスがないため、コードは MID Server で実行されます。[エラー] セクションで次のメンバーコールを見つけた場合は、[却下] (無視) としてマークします。このツールでは、そのメンバーコールを再度報告しません。Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content);Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name);Packages.com.snc.sw.commands.HttpCallHandler;Packages.com.snc.sw.dto.ProviderType.SSH
- 詳細な修正については、ServiceNow サポートにお問い合わせください。