| 仮想エージェント埋め込み Web クライアントへの非認証アクセスを防止します |
- 新しい簡単な説明:仮想エージェント埋め込み Web クライアントへの非認証アクセスを防止します
- 以前の簡単な説明:公開されている仮想エージェント埋め込み Web クライアントsn_va_web_client_app_embed
|
| 空の ACL の作成を防止する (セキュリティセンター 2.0 の新機能) |
ルール: スクリプト: 検出精度を向上させるためにスクリプトが更新されました。 |
| 簡易リストウィジェットでエンコードされたクエリの ACL を有効にする (セキュリティセンター 2.0 の新機能) |
- CVSS スコア (新規):4.3
- CVSS スコア (旧):5.3
|
| すべての翻訳済み HTML フィールドをサニタイズする (セキュリティセンター 2.0 の新機能) |
- CVSS スコア (新規):4.6
- CVSS スコア (旧):8.8
|
| HTML サニタイザーを有効にする (セキュリティセンター 1.3 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
| X-Frame-Options:SAMEORIGIN セキュリティヘッダーを実装 (セキュリティセンター 1.3 で更新) |
- CVSS スコア (新規): 5.9
- CVSS スコア (旧):7.1
|
| GlideSystemUserSession スクリプト作成可能 API へのアクセスを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
- 修正 (新規):プロパティ glide.sandbox.usersession.allow_unsanitized_messages が false に設定されていることを確認します。このプロパティのシステムプロパティ [sys_properties] レコードが存在しない場合は、作成します。
- 修正 (旧):プロパティ glide.sandbox.usersession.allow_unsanitized_messages が false に設定されていることを確認します。
|
| スクリプトサンドボックスを有効にする [セキュリティセンター 1.3 で更新] |
- 簡単な説明 (新規): スクリプトサンドボックスを有効にします
- 簡単な説明 (旧): クライアントが生成したスクリプトサンドボックスを強制する
- 説明 (新規):このプロパティは、スクリプトサンドボックス機能を有効にします。スクリプトサンドボックスは、主にクライアントによって生成されたスクリプト (クエリ条件や GlideAjax 式など) を実行するときに利用されます。glide.script.use.sandboxが推奨値の true に設定されていない場合、スクリプトサンドボックス機能は無効になります。スクリプトサンドボックスがないと、権限のないユーザーや非認証ユーザーがインスタンスで任意の特権スクリプトを実行する可能性があります。これにより、インスタンス上のすべてのデータへの潜在的に悪意のあるアクセスを含むがこれに限定されない、すべての領域でセキュリティへの完全な影響が生じます。
- 説明 (旧):このプロパティは、クライアント生成スクリプトのクエリ条件と計算値を制限するスクリプトサンドボックス検証機能を有効にします。glide.script.use.sandbox が推奨値の true に設定されていない場合、スクリプトで実行できる操作を制御する javascript サンドボックス機能が無効になります。適切な承認と検証がないと、攻撃者がプラットフォームに対して不正な操作を実行する可能性があります。
- CVSS スコア (新規):10
- CVSS スコア (旧):9.8
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
|
- 説明 (新規): glide.db.clone.allow_clone_target が推奨値の false に設定されていない場合、インスタンスをクローンターゲットとして使用することも、クローン作成に使用されるインスタンス URL と認証情報を指定するレコードとして使用することもできます。システムクローンは、データベース内のすべてのものを、あるインスタンスから別のインスタンスにコピーします。クローン作成プロセスでインスタンスデータベースが上書きされて、データが失われたり、データの完全性が失われたりする可能性があるため、これはセキュリティ上のリスクです。修正として、 glide.db.clone.allow_clone_target が false に設定されていることを確認します。このプロパティを推奨値の false に設定しないと、インスタンスをクローンターゲットとして使用できます。クローン作成プロセスでインスタンスデータベースが上書きされる可能性があるため、これはセキュリティ上のリスクです。
- 説明 (旧): glide.db.clone.allow_clone_target が推奨値の false に設定されていない場合、インスタンスをクローンターゲットとして使用できます。これにより、クローンプロセスによってインスタンスデータベースが上書きされ、整合性と可用性が失われるリスクがあります。
|
|
- CVSS スコア (新規):4.2
- CVSS スコア (旧):7.4
|
| URL 許可リストのチェックを強制する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 説明 (新規): glide.security.url.whitelist.strict_check が推奨値の true に設定されていない場合、 glide.security.url.whitelist が空の場合、すべての外部 URL をリダイレクトに使用できます。glide.security.url.whitelistが空でない場合は、ホワイトリスト内の外部 URL のみが許可されます。したがって、 glide.security.url.whitelist.strict_check を true に設定するか、許可された外部 URL を使用して glide.security.url.whitelist が空でない値に設定されるようにすると、インスタンスは安全な状態のままになります。すべての外部 URL がリダイレクトに許可されている場合、攻撃者はユーザーを悪意のある Web サイトにリダイレクトする可能性があります。
- 説明 (旧): glide.security.url.whitelist.strict_check が推奨値の true に設定されておらず、 glide.security.url.whitelist が組織の承認済み URL に設定されていない場合、すべての外部 URL をリダイレクトに許可します。これにより、攻撃者はユーザーを悪意のある Web サイトにリダイレクトする可能性があります。
- CVSS スコア (新規): 6.3
- CVSS スコア (旧):8.3
|
|
-
glide.stax.whitelist_enabled システムプロパティがシステムプロパティ [sys_properties] テーブルに存在しない場合、または推奨値の true に設定されていない場合、glide.stax.allow_entity_resolution システムプロパティの値が true に設定されていると、すべての外部エンティティが許可されます。カスタマイズでエンティティの拡張が必要ない場合は、glide.stax.allow_entity_resolution システムプロパティを使用して外部エンティティの拡張を無効化します。XML は解析を完了しますが、内部または外部エンティティは含まれません。
glide.stax.whitelist_enabled が true に設定されている場合は、glide.xml.entity.whitelist プロパティでカンマ区切りの FQDN リストを定義してください。XML エンティティ処理プロパティを使用してアクセスできるのは、これらの URL のみになります。詳細については、「」を参照してください。外部エンティティ拡張 (XXE) 攻撃では攻撃者はこの脆弱性を利用してデータを急激に拡張し、すべてのシステムリソースを短時間で消費する可能性があります。
- 説明 (以前): glide.stax.whitelist_enabled が推奨値の true に設定されていない場合、すべての外部エンティティが許可されます。これにより、外部エンティティ拡張 (XXE) 攻撃が発生する可能性があります。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
|
-
許可リストを使用して XXE 攻撃から保護し、サーバーで実行される可能性のある任意の HTTP 要求を攻撃者が含めることを防ぎます。これにより、サーバーの他のエンティティとの信頼関係を使用して追加の攻撃が発生する可能性があります。
glide.xml.entity.whitelist システムプロパティの値に http://java.sun.com/j2ee/dtds/ を追加してから、glide.xml.entity.whitelist.enabled システムプロパティを true に設定します。
http://java.sun.com/j2ee/dtds/ 以外の値は、glide.xml.entity.whitelist プロパティに含めることができますが、初期設定のプラットフォーム状態には不要です。追加の値を確認して、安全かどうかを判断します。
警告: これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
- 説明 (旧):「glide.xml.entity.whitelist」が推奨値の「http://java.sun.com/j2ee/dtds/」に設定されておらず、「glide.xml.entity.whitelist.enabled」が「true」に設定されていない場合、悪意のある外部エンティティが許可され、XXE 攻撃を引き起こす可能性があります。攻撃者は DTD を使用して、サーバーが実行する可能性のある任意の HTTP 要求を含めることができます。これにより、サーバーの他のエンティティとの信頼関係を使用して追加の攻撃が発生する可能性があります。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
|
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
|
-
不適切なファイル拡張子を使用した危険なファイルがインスタンスにアップロードされないようにするため、添付ファイルの MIME タイプが検証されるようにします。
glide.attachment.enforce_security_validation システムプロパティを true に設定します。true に設定すると、ファイルは正しいファイルタイプ拡張子でアップロードされます。
- 説明 (以前) :「glide.attachment.enforce_security_validation」が推奨値の「true」に設定されていない場合、添付ファイルの MIME タイプの検証が行われず、間違ったファイル拡張子を使用して危険なファイルがシステムにアップロードされる可能性があります。このプロパティが「true」に設定されている場合、ファイルは正しいファイルタイプ拡張子でアップロードされます。
セキュリティのベストプラクティスは、少なくとも MIME タイプの検証を使用してファイルのアップロードを検証することです。
- CVSS スコア (新規):6.7
- CVSS スコア (旧):7.5
|
|
-
説明 (新規) glide.ip.authenticate.strict および glide.ip.authenticate.allow.secured システムプロパティを使用して、インスタンスアクセスがより幅広いユーザーグループに不必要に公開されないようにします。
glide.ip.authenticate.strict システムプロパティが true に設定されている場合、ServiceNow の内部担当者とシステムは、必須 IP 範囲からインスタンスへの受信接続のみを行うことができます。この制限により、ServiceNow はインスタンスで重要な内部インフラストラクチャを可視化できなくなり、サポートスタッフや営業スタッフなど、より広範な ServiceNow 担当者が企業ネットワーク経由でアクセスできなくなります。glide.ip.authenticate.allow.secured システムプロパティは、通常の認証済みアクセスと非認証の診断ページを含む内部 ServiceNow 受信接続を許可します。
true に設定されていない場合は、glide.ip.authenticate.allow プロパティで定義されているより広範な ServiceNow 内部 IP 範囲を使用して、内部 ServiceNow 受信接続が許可されます。
glide.ip.authenticate.allow.secured システムプロパティに信頼できる値のみが含まれていることと、プロパティ glide.ip.authenticate.strict が true に設定されていることを確認してください。
-
説明 (旧):「glide.ip.authenticate.strict」が「true」に設定されている場合、ServiceNow の内部担当者とシステムは、必須 IP 範囲からインスタンスへの受信接続のみを行うことができます。この制限により、ServiceNow は重要な内部インフラストラクチャに対するインスタンスを可視化できなくなり、サポートスタッフや営業スタッフなど、より広範な ServiceNow 担当者が企業ネットワーク経由でアクセスできなくなります。
「true」に設定すると、「glide.ip.authenticate.allow」プロパティを使用して内部 ServiceNow 受信接続が許可されます。「true」に設定されていない場合は、「glide.ip.authenticate.allow」で定義されているより広い ServiceNow 内部 IP 範囲を使用して、内部 ServiceNow 受信接続が許可されます。
|
| XMLDocument2 ストリーミングパーサー内のエンティティ拡張を無効にする (セキュリティセンター 1.5 で更新) |
- 説明 (新規):
インスタンスのエンティティ拡張を無効にして、システムファイルの読み取りやサービス拒否などの攻撃からインスタンスを保護します。システムプロパティを使用して、ストリーミングパーサー (XMLDocument2) による解析中に XML エンティティが拡張されないようにします。 インスタンスでエンティティ拡張を無効にするには、glide.stax.allow_entity_resolution システムプロパティを false に設定します。このプロパティがシステムプロパティ [sys_properties] テーブルに存在しない場合、デフォルト値は true です。プロパティレコードを作成し、値を false に設定して値を変更します。
- 説明 (以前): 「glide.stax.allow_entity_resolution」が推奨値の「False」に設定されていない場合、このプロパティを使用すると、ストリーミングパーサー (XMLDocument2) による解析中に XML エンティティを展開できます。XML エンティティの拡張により、システムファイルの読み取り機能やサービス拒否などの攻撃が発生する可能性があります。
- 修正 (新規):プロパティ glide.stax.allow_entity_resolution が sys_properties テーブルに存在し、 false に設定されていることを確認します。プロパティがsys_propertiesリストに表示されない場合、デフォルト値は true です。
- 修復 (旧):プロパティ「glide.stax.allow_entity_resolution」が「false」に設定されていることを確認してください。
|
| 空の ACL でデフォルトで拒否する (Security Center 1.3 で更新) |
- 説明 (新規):
リソースに対して ACL が定義されていない場合、またはワイルドカードを使用したテーブルレベルの ACL (例:incident.*) のみが存在する場合に、インスタンスの従来のセキュリティマネージャーがリソースへのアクセスを許可できないようにします。デフォルトでアクセスが許可される場合、明示的な ACL が設定されていないものはすべて、操作の影響を受ける可能性があります。 定義された ACL ルールがない場合、またはワイルドカードを使用したテーブルレベル ACL のみが存在する場合は、 glide.sm.default_mode システムプロパティ値を deny に設定してアクセスを禁止します。
- 説明 (旧):「glide.sm.default_mode」が推奨値の「拒否」に設定されていない場合、そのリソースに ACL が定義されていなければ、インスタンスの従来のセキュリティマネージャーによってリソースへのアクセスが許可されます。またはテーブルレベルのワイルドカード ACL のみ。これを「許可」に設定すると、明示的な ACL が設定されていないものはすべて操作の影響を受けやすくなります。
- CVSS スコア (新規): 6.3
- CVSS スコア (旧):8.8
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| 添付ファイルへの非認証アクセスを制限する |
|
| 埋め込み HTML コードを無効化する (セキュリティセンター 1.3 で更新) |
- 説明 (新規):
[code] タグを使って埋め込まれた HTML コードの表示のサポートを無効にします。このタグを使用すると、レンダリングされた HTML をジャーナルフィールドに表示でき、クロスサイトスクリプティング (XSS) 攻撃につながる可能性があります。これらの攻撃により、ログインしているブラウザのコンテキストで、ユーザーセッションで外部スクリプトが実行される可能性があります。攻撃者はこれらのスクリプトを使用してセッション情報と機密データを盗むことができます。HTML 言語は、スクリプトを書式設定から分離するように設計されていないため、どのシステムでもユーザー制御の HTML を許可することには特有のリスクがあります。
glide.ui.security.codetag.allow_script を false に設定すると準拠し、このリスクが大幅に軽減されますが、いくつかの小さなリスクが残ります。これは code タグのスクリプト部分のみを無効にし、また HTML でのスクリプトの既知のすべての規則をサニタイズすることに依存します。 glide.ui.security.allow_codetag システムプロパティを false に設定すると、ジャーナルフィールドとフォームにレンダリングされた HTML が完全に表示されなくなります。 Now Platform は、エスケープおよびエンコード技術を実装することで、多くのインジェクション攻撃とクロスサイト攻撃を軽減します。その結果、ユーザーはジャーナルフィールドに対して HTML 形式の入力の書き込みや送信ができなくなります。しかしジャーナルフィールドでは、コードタグで囲まれたテキストを HTML としてレンダリングできます。
- ただし、関連するセキュリティリスクがあります。true に設定すると、悪意のあるユーザーは、ジャーナルフィールドをレンダリングした後に、別のクライアントブラウザーで実行できる有害な HTML JS コードを書き込むことができます。
- このプロパティを false に設定すると、
[code] タグのサポートを無効にすることで、ジャーナルフィールドで HTML コードがレンダリングされないようにすることができます。
- 説明 (旧):[code] タグを使用して作成された HTML コードの埋め込みのサポートを無効にします。「glide.ui.security.allow_codetag」の値が「false」に設定されていない場合、ジャーナルフィールドとフォームにレンダリングされた HTML は表示されません。ディスプレイ埋め込み HTML コードを使用して「glide.ui.security.allow_codetag」を「true」に設定すると、クロスサイトスクリプティング (XSS) 攻撃が発生する可能性があります。
|
| パスワードリセットポリシーのチェックを有効にする (セキュリティセンター 2.0 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
| スパムメールのスコアリングとフィルタリングを有効化する (Security Center 1.3 で更新) |
- 技術構成名 (新規):com.glide.email_filter、glide.email.read.active
- 技術構成名 (旧):com.glide.email_filter
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| Excel 計算式をエスケープ (Security Center 1.3 で更新) |
- 説明 (新規):
Excel などファイルで数式をエスケープすることで、ファイルをエクスポートして開いた後に、プログラムで悪意のある可能性のある式が実行されないようにします。Excel インジェクションは、Web サイトが Excel ファイル内に信頼できないエントリを埋め込むときに発生します。式が適切にエスケープされていない場合、Microsoft Excel や LibreOffice Call などのスプレッドシートアプリケーションを使用してファイルを開くと、+、-、=、または @ で始まるセルは式として解釈されます。悪意のある式は、コード実行による閲覧者のコンピューターの侵害に使用される可能性があるため、スプレッドシートに機密情報が含まれていない場合であってもリスクを引き起こします。 glide.export.escape_formulas システムプロパティを true に設定して、これらの式が実行されないようにエスケープします。
- 説明 (旧):プロパティ「glide.export.escape_formulas」を推奨値の「true」に設定すると、Excel などのプログラムで、ファイルをエクスポートして開いた後に、悪意のある可能性のある式が実行されるのを防ぐことができます。CSV、Xls、および XLSX のセル値は、スプレッドシートアプリケーションによって計算式として解釈でき、これは適切にエスケープされない限り、悪意のあるコードの実行につながる可能性があります。
- CVSS スコア (新規): 6.4
- CVSS スコア (旧):6.5
|
| JSONP 要求を信頼できる URL に制限する (セキュリティセンター 1.3 で更新) |
- 説明 (新規):
AngularJS $httpサービスの信頼できる URL のみが JSONP 要求を許可/拒否できるようにすることで、インスタンスのセキュリティを強化します。これらのプロパティが構成および有効になっていない場合、任意の URL に対する JSONP 要求が許可されます。 angular.jsonp.inclusion_list.urls システムプロパティの値を使用して、信頼され、この目的に使用できる URL のリストを定義します。許可される JSONP を angular.jsonp.inclusion_list.urls にリストされている URL のみに制限するには、angular.jsonp.inclusion_list.enabled システムプロパティの値を true に設定します。
- 説明 (旧):このプロパティは、JSONP 要求を許可/拒否する angularJS $httpサービスの信頼できる URL を指定します。これにより顧客の変更が破棄される可能性があるため、プロパティが必要です。そのため、信頼できる URL を追加する方法が必要です。「angular.jsonp.inclusion_list.enabled」が推奨値の「true」に設定されていない場合、JSONP 要求は任意の URL に対して許可されます。
|
|
- 説明 (新規):
SNC アクセス制御 (com.snc.snc_access_control) プラグインを有効にすると、ServiceNow カスタマーサービスとサポート担当者が特別な権限なしでインスタンスにアクセスすることができなくなります。インスタンスへのすべてのアクセスが監査されますが、このアクセスを制御することを希望する場合もあります。このアクセス方法は監査可能および追跡済み。 注: 製品をサポートおよび管理する権限を持つその他の ServiceNow 運用担当者は、基礎となるインフラストラクチャで管理アクションを実行する必要があります。このプラグインを有効にすると、サポートサービスレベルと可用性 SLA に影響する場合があります。可用性 SLA は、サポートスタッフ担当者がインスタンスへのアクセスを許可された時間から測定されます。 特別な権限なしでのインスタンスへのアクセスを制限するには、SNC アクセス制御 (com.snc.snc_access_control) プラグインを有効にします。この機能の詳細については、「ServiceNow アクセス制御」を参照してください。アクティブ化については、「ServiceNow アクセス制御の有効化」を参照してください。
- 説明 (旧):SNC アクセス制御 (com.snc.snc_access_control) プラグインを使用すると、カスタマーサービスおよびサポート担当者が明示的な許可なしにインスタンスにアクセスできなくなります。ただし、製品をサポートおよび管理する能力を持つ他の認定された ServiceNow Operations 担当者は、基盤となるインフラストラクチャに対して管理アクションを実行する必要があります。このインフラストラクチャには、SaaS を構成する他のインフラストラクチャコンポーネントの中でも、サーバーとデータベースが含まれます。このアクセス方法は完全に監査可能であり、追跡されます。このプラグインを使用すると、明示的な権限なしにインスタンスへのアクセスを制限できるため、サポートサービスレベルと可用性 SLA に影響を与える可能性があります。可用性 SLA は、サポートスタッフ担当者がインスタンスへのアクセスを許可された時間から測定されます。
- 修復 (新規):プラグイン「com.snc.snc_access_control」がアクティブ化されていることを確認します。https://www.servicenow.com/docs/csh?topicname=t_ActivateSNCAccessControl.html&version=latest でのアクティブ化に関するドキュメントをお読みください 。
- 修正 (旧):プラグイン「com.snc.snc_access_control」がアクティブになっていることを確認します。
- CVSS スコア (新規): 3.3
- CVSS スコア (旧):8.2
|
| 失敗したログインのロック解除タイムアウト期間を最大化する (セキュリティセンター 1.3 で更新) |
- 技術構成名 (新規):glide.user.unlock_timeout_in_mins、sysevent_script_action
- 技術構成名 (旧):glide.user.unlock_timeout_in_mins
- 説明 (新規):
ロックアウト後にユーザーがログインできない期間を定義することで、総当たり攻撃からインスタンスを保護します。glide.user.unlock_timeout_in_mins システムプロパティの値で指定された時間が経過すると、ユーザーアカウントのロックが解除されます。値を指定しない場合は、デフォルトの 15 分後にユーザーアカウントのロックが解除されます。
- 説明 (旧):「glide.user.unlock_timeout_in_mins」が推奨値の「15」に設定されていない場合は、より短い時間枠でアカウント総当たり攻撃をする方が簡単な場合があります。このプロパティは、glide.user.unlock_timeout_in_minsプロパティに指定された期間が経過すると、ユーザーアカウントのロックを解除します。値を指定しない場合は、デフォルトの 15 分後にユーザーアカウントのロックが解除されます。
- 修復 (新規):
glide.user.unlock_timeout_in_mins システムプロパティを最小値の 15 に設定します。glide.user.unlock_timeout_in_mins が存在しない場合、デフォルトのロックアウト時間は 15 分に設定されます。 (スクリプトアクション [sysevent_script_action] テーブルにある) [自動ロック解除による SNC ユーザーロックアウトチェック (SNC User Lockout Check with Auto Unlock)] スクリプトアクションが存在し、アクティブであることを確認します[自動ロック解除による SNC ユーザーロックアウトチェック (SNC User Lockout Check with Auto Unlock)] スクリプトアクションは、高セキュリティ設定 (com.glide.high_security) プラグインとともにインストールされます。
- 修復 (旧):プロパティ「glide.user.unlock_timeout_in_mins」が「15」以上に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| 特定の IP 範囲プラグインへのアクセスを制限する (セキュリティセンター 1.3 で更新) |
- 技術構成名 (新規):com.snc.ipauthenticator,ip_access
- 技術構成名 (旧):com.snc.ipauthenticator
|
| ターゲットテーブルが空のメールへのアクセスを制限する |
- CVSS スコア (新規): 6.5
- CVSS スコア (旧):5.4
|
| ダウンロード可能な MIME タイプを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
- CVSS スコア (新規): 6.4
- CVSS スコア (旧):8
|
|
- 技術構成名 (新規):glide.authenticate.multissov2_feature.enabled
- 技術構成名 (旧):glide.authenticate.multisso.enabled,glide.authenticate.multissov2_feature.enabled
- 説明 (新規):
インスタンスで Multi SSO プラグインが有効になっている場合は、v2 バージョンが有効になっていることを確認することで、セキュリティの脆弱性を軽減します。最新バージョンではセキュリティが強化され、アサーション暗号化のサポートや IDP によって開始されるシングルログアウト (SLO) など、多くの機能が追加されています。最新バージョンが有効になっていない場合、新しいセキュリティ機能は使用できず、インスタンスは廃止されたプラグインを使用するリスクがあります。 KB0756504 の手順に従って、最新バージョンにアップグレードします。このプロセスには、カスタマイズ関連の変更を確認して移行し、バージョンをアップグレードすることが含まれています。完了すると、glide.authenticate.multissov2_feature.enabled システムプロパティは自動的に true に設定されます。
- 説明 (旧):インスタンスでマルチ SSO プラグインが有効になっている場合は、v2 バージョンを有効にする必要があります。SAML 1.1 および SAML 2.0 を含む MultiSSOv2 より前のバージョンでは、ベストプラクティスに従わず、既知の CVE を持つ opensaml ライブラリのバージョンが使用されます。既知の CVE が古い opensaml ライブラリで悪用可能である場合、攻撃者はメッセージを偽造し、XML 署名ラッピング攻撃によって認証をバイパスしたり、エンティティになりすましたり、中間者攻撃者がプラットフォームに不正にアクセスしたりする可能性があります。
- CVSS スコア (新規):0
- CVSS スコア (旧):7.1
|
| 非アクティブなユーザーのログインを防ぐ (Security Center 1.5 の新機能) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
|
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
|
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
|
- CVSS スコア (新規): 6.4
- CVSS スコア (旧):7.1
|
|
|
|
- 説明 (新規):
アクティブな HTTP セッションの有効期間を短くすることで、潜在的なセキュリティインシデントの範囲を縮小します。glide.ui.active.session.life_span システムプロパティは、非アクティブタイムアウトに関係なく、アクティブな HTTP セッションに最大の有効期間を適用します。最大有効期間が長いほど、攻撃者が盗んだセッションをより長く使用できるので、セキュリティインシデントの範囲が拡大します。デフォルト値の 0 は、アクティブセッションのタイムアウトを無効にします glide.ui.active.session.life_span を 1 〜 720 の値に設定します。この値は、HTTP セッションをアクティブにしておくことができる時間 (分単位) を表します。
- 説明 (旧):この構成では、非アクティブなタイムアウトに関係なく、アクティブなゲスト HTTP セッションに最大ライフスパンが適用されます。構成値は分単位で、値がゼロの場合はアクティブセッションのタイムアウトが無効になります。最大有効期間が長いほど、攻撃者が盗まれたセッションを長期間保持できる可能性があり、セキュリティインシデントの範囲が拡大します。この特定のプロパティは、UI セッションタイムアウトに限定されます。
|