| 가상 에이전트가 포함된 웹 클라이언트에 대한 인증되지 않은 접근 방지 |
- 새로운 간단한 설명: 가상 에이전트가 포함된 웹 클라이언트에 인증되지 않은 접근 방지
- 이전 간단한 설명:공개적으로 노출된 가상 에이전트가 포함된 웹 클라이언트 sn_va_web_client_app_embed
|
| 빈 ACL 생성 방지 |
규칙: 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 단순 목록 위젯에서 인코딩된 쿼리에 ACL 사용 |
- CVSS 점수(신규): 4.3
- CVSS 점수(이전): 5.3
|
| 번역된 모든 HTML 필드 정리 |
- CVSS 점수(신규): 4.6
- CVSS 점수(이전): 8.8
|
| HTML 위생 검사 사용 [보안 센터 1.3에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다. |
| x-frame-options 구현: SAMEORIGIN 보안 헤더 |
- CVSS 점수(신규): 5.9
- CVSS 점수(이전): 7.1
|
| GlideSystemUserSession 스크립팅 가능한 API에 접근 제한 |
- 정정(신규): 속성이 glide.sandbox.usersession.allow_unsanitized_messagesfalse로 설정되어 있는지 확인합니다. 이 속성에 대한 시스템 속성 [sys_properties] 기록이 없는 경우 하나를 생성합니다.
- 정정(기존): 속성이 glide.sandbox.usersession.allow_unsanitized_messagesfalse로 설정되어 있는지 확인합니다.
|
| 대상 복제 허용 안 함 [보안 센터 1.3의 새로운 기능] |
- 설명(신규): glide.db.clone.allow_clone_target 권장 값인 false로 설정되지 않은 경우 인스턴스를 클론 대상으로 사용하거나 클론에 사용되는 인스턴스 URL 및 자격 증명을 지정하는 레코드로 사용할 수 있습니다. 시스템 클론은 데이터베이스의 모든 항목이 한 인스턴스에서 다른 인스턴스로 복사되는 경우입니다. 이는 복제 프로세스에서 인스턴스 데이터베이스를 덮어써서 데이터 손실 및 데이터 무결성 부족으로 이어질 수 있기 때문에 보안 위험입니다. 정정하려면 false로 설정해야 합니다glide.db.clone.allow_clone_target. 이 속성을 권장 값인 아니오로 설정하지 않으면 인스턴스가 클론 대상으로 사용될 수 있습니다. 이는 복제 프로세스에서 인스턴스 데이터베이스를 덮어쓸 수 있기 때문에 보안상 위험합니다.
- 설명(기존): glide.db.clone.allow_clone_target 권장 값인 false로 설정되지 않은 경우 인스턴스를 클론 대상으로 사용할 수 있습니다. 이렇게 하면 클론 프로세스에서 인스턴스 데이터베이스를 덮어쓸 위험이 있으며 무결성 및 가용성 손실이 발생합니다.
|
| OAuth 매개 변수를 POST 본문으로 제한 [Security Center 1.3의 새로운 기능] |
- CVSS 점수(신규): 4.2
- CVSS 점수(이전): 7.4
|
| URL 허용 목록 검사 강제 적용 |
- 설명(신규): 권장 값인 true로 설정되지 않은 경우 glide.security.url.whitelist.strict_check 비어 있을 때 glide.security.url.whitelist 모든 외부 URL을 리디렉션할 수 있습니다. glide.security.url.whitelist 이 비어 있지 않으면 화이트리스트의 외부 URL만 허용됩니다. 따라서 true로 설정하거나 glide.security.url.whitelist.strict_check 허용된 외부 URL을 사용하여 비어 있지 않은 값으로 설정하면 glide.security.url.whitelist 인스턴스가 보안 상태로 유지됩니다. 모든 외부 URL의 리디렉션이 허용되는 경우 공격자가 사용자를 악성 웹 사이트로 리디렉션할 수 있습니다.
- 설명(이전): glide.security.url.whitelist.strict_check 권장 값인 true로 설정되지 않고 glide.security.url.whitelist 조직의 승인된 URL로 설정되지 않은 경우 모든 외부 URL의 리디렉션이 허용됩니다. 이를 통해 공격자는 사용자를 악성 웹 사이트로 리디렉션할 수 있습니다.
- CVSS 점수(신규): 6.3
- CVSS 점수(이전): 8.3
|
| 허용 목록으로 XMLdoc2 엔터티 확인 필요 |
-
glide.stax.whitelist_enabled 시스템 속성이 시스템 속성 [sys_properties] 테이블에 없거나 권장 값인 true로 설정되지 않은 경우 glide.stax.allow_entity_resolution 시스템 속성이 true 값으로 설정되면 모든 외부 엔터티가 허용됩니다. 사용자 지정에 엔터티 확장이 필요하지 않은 경우 glide.stax.allow_entity_resolution 시스템 속성을 사용하여 외부 엔터티 확장을 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.
- glide.stax.allow_entity_resolution을 true로 설정하면 모든 외부 엔터티가 glide.stax.whitelist_enabled 속성 설정에 따라 대상 엔터티를 해결하거나 확장하려고 시도합니다.
- glide.stax.allow_entity_resolutionfalse로 설정하면 모든 엔터티 해결 및 확장이 차단됩니다. 이 속성에 대한 자세한 내용은 다음 문서를 참조하십시오 XMLDocument2 스트리밍 파서 내에서 엔터티 확장 사용 안 함.
glide.stax.whitelist_enabled가 true로 설정되면 XML 엔터티 처리 속성을 사용하여 연결할 수 있는 유일한 URL인 glide.xml.entity.whitelist 속성에 쉼표로 구분된 FQDN 목록을 정의합니다. 자세한 내용은 XML 외부 엔터티 제한 문서를 참조하십시오. 공격자는 이 취약점을 사용하여 XXE(External Entities Expansion) 공격에서 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소비할 수 있습니다.
- 설명(기존): glide.stax.whitelist_enabled 권장 값인 true로 설정되지 않은 경우 모든 외부 엔터티가 허용됩니다. 이로 인해 외부 엔티티 확장(XXE) 공격이 발생할 수 있습니다.
- 규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.
|
| XML 외부 엔터티 제한 |
-
공격자가 서버에서 실행할 수 있는 임의의 HTTP 요청을 포함하지 못하도록 허용 목록을 사용하여 XXE 공격으로부터 보호합니다. 이렇게 하면 다른 엔터티와 서버의 신뢰 관계를 사용하여 추가 공격이 발생할 수 있습니다.
glide.xml.entity.whitelist 시스템 속성 값에 http://java.sun.com/j2ee/dtds/ 추가한 다음 glide.xml.entity.whitelist.enabled 시스템 속성을 true로 설정합니다.
http://java.sun.com/j2ee/dtds/ 이외의 값은 glide.xml.entity.whitelist 속성에 포함할 수 있지만 바로 사용 가능한 플랫폼 상태에는 필요하지 않습니다. 추가 값을 검토하여 안전한지 확인합니다.
경고: 이는 세이프 하버 속성이므로 한 번 변경하면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
- 설명(이전): "glide.xml.entity.whitelist"가 권장 값인 "http://java.sun.com/j2ee/dtds/"로 설정되지 않고 "glide.xml.entity.whitelist.enabled"가 "예"로 설정되지 않은 경우 악의적인 외부 엔터티를 허용하여 XXE 공격을 일으킬 수 있습니다. 공격자는 DTD를 사용하여 서버가 실행할 수 있는 임의의 HTTP 요청을 포함할 수 있습니다. 이렇게 하면 다른 엔터티와 서버의 신뢰 관계를 사용하여 추가 공격이 발생할 수 있습니다.
- 규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.
|
| 외부 사용자 등록을 위한 이메일 도메인 제한 [보안 센터 1.3, 1.5 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다. |
| AttachmentCreator SOAP 웹 서비스에서 파일 MIME 형식 확인 [보안 센터 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
-
첨부 파일에 대해 MIME 유형의 유효성을 검사하여 잘못된 파일 확장자를 사용하여 인스턴스에 위험한 파일이 업로드되는 것을 방지해야 합니다.
glide.attachment.enforce_security_validation 시스템 속성을 true로 설정합니다. true로 설정하면 파일이 올바른 파일 형식 확장자로 업로드됩니다.
- 설명(기존): "glide.attachment.enforce_security_validation"가 권장 값인 "예"로 설정되지 않은 경우 첨부 파일 MIME 유형에 대한 확인이 수행되지 않으며 잘못된 파일 확장자를 사용하여 위험한 파일이 시스템에 업로드될 수 있습니다. 이 속성을 '예'로 설정하면 파일이 올바른 파일 형식 확장자로 업로드됩니다.
최소한 MIME 형식 유효성 검사를 사용하여 파일 업로드의 유효성을 검사하는 것이 보안 베스트 프랙티스입니다.
- CVSS 점수(신규): 6.7
- CVSS 점수(이전): 7.5
|
| 인스턴스에 대한 IP 허용 목록의 범위 축소 |
-
설명(신규) glide.ip.authenticate.strict 및 glide.ip.authenticate.allow.secured 시스템 속성을 사용하여 더 광범위한 사용자 그룹에 대한 인스턴스 액세스의 불필요한 노출을 방지합니다.
glide.ip.authenticate.strict 시스템 속성이 예로 설정되면 내부 ServiceNow 직원과 시스템은 필수 IP 범위에서 인스턴스에 대한 인바운드 연결만 만들 수 있습니다. 이렇게 하면 인스턴스의 필수 내부 인프라에 대한 가시성이 제한 ServiceNow되고 회사 네트워크를 통해 지원 및 영업 직원과 같은 광범위한 ServiceNow 직원이 액세스할 수 없게 됩니다. glide.ip.authenticate.allow.secured 시스템 속성은 일반 인증 액세스 및 인증되지 않은 진단 페이지를 포함한 내부 ServiceNow 인바운드 연결을 허용합니다.
예로 설정되지 않은 경우 glide.ip.authenticate.allow 속성에 정의된 더 ServiceNow 광범위한 내부 IP 범위를 사용하여 이러한 내부 ServiceNow 인바운드 연결을 부여합니다.
glide.ip.authenticate.allow.secured 시스템 속성에 신뢰할 수 있는 값만 포함되어 있고 glide.ip.authenticate.strict 속성이 예로 설정되어 있는지 확인합니다.
-
설명(기존): "glide.ip.authenticate.strict"이 "예"로 설정된 경우 내부 ServiceNow 담당자와 시스템은 필수 IP 범위에서 인스턴스에 대한 인바운드 연결만 만들 수 있습니다. 이러한 제한으로 인해 ServiceNow는 필수 내부 인프라에 대한 인스턴스를 볼 수 있으며 기업 네트워크를 통해 지원 및 영업 직원과 같은 광범위한 ServiceNow 담당자가 액세스할 수 없게 됩니다.
"예"로 설정된 경우 "glide.ip.authenticate.allow" 속성은 내부 ServiceNow 인바운드 연결을 부여하는 데 사용됩니다. "예"로 설정되지 않은 경우 "glide.ip.authenticate.allow"에 정의된 더 광범위한 ServiceNow 내부 IP 범위를 사용하여 내부 ServiceNow 인바운드 연결을 부여합니다.
|
| XMLDocument2 스트리밍 파서 내에서 엔터티 확장 사용 안 함 |
- 설명(신규):
인스턴스에서 엔터티 확장을 비활성화하여 시스템 파일 읽기 기능, DoS(서비스 거부) 등의 공격으로부터 인스턴스를 보호합니다. 시스템 속성을 사용하여 스트리밍 파서(XMLDocument2)로 구문 분석하는 동안 XML 엔터티를 확장할 수 없습니다. 인스턴스에서 엔터티 확장을 사용하지 않으려면 glide.stax.allow_entity_resolution 시스템 속성을 false 로 설정합니다. 이 속성이 시스템 속성 [sys_properties] 테이블에 나타나지 않으면 기본값은 true입니다. 속성 기록을 생성하고 값을 false 로 설정하여 값을 변경합니다.
- 설명(기존): "glide.stax.allow_entity_resolution"이 권장 값인 "False"로 설정되지 않은 경우 이 속성을 사용하면 스트리밍 파서(XMLDocument2)에서 구문 분석하는 동안 XML 엔터티를 확장할 수 있습니다. XML 엔터티 확장은 시스템 파일 읽기 기능 및 서비스 거부와 같은 공격으로 이어질 수 있습니다.
- 정정(신규): 속성이 glide.stax.allow_entity_resolution sys_properties 테이블에 있고 false로 설정되어 있는지 확인합니다. 속성이 sys_properties 목록에 나타나지 않으면 기본값은 true입니다.
- 정정(기존): "glide.stax.allow_entity_resolution" 속성이 "아니오"로 설정되어 있는지 확인합니다.
|
| 빈 ACL을 사용하여 기본적으로 거부 [Security Center 1.3에서 업데이트됨] |
- 설명(신규):
해당 자원에 대해 정의된 ACL이 없거나 와일드카드 테이블 수준 ACL(예: incident.*)만 있는 경우 인스턴스의 레거시 보안 관리자가 자원에 대한 액세스를 허용하지 못하도록 합니다. 기본적으로 액세스가 허용되면 명시적 ACL 세트가 없는 모든 항목은 조작에 취약합니다. 정의 ACL 규칙이 없거나 와일드카드 테이블 수준 ACL만 있는 경우 액세스를 허용하지 않으려면 glide.sm.default_mode 시스템 속성 값을 거부 로 설정합니다.
- 설명(이전): "glide.sm.default_mode"이 권장 값인 "거부"로 설정되지 않은 경우 해당 리소스에 대해 정의된 ACL이 없을 때 인스턴스의 레거시 보안 관리자가 리소스에 대한 액세스를 허용합니다. 또는 와일드카드 테이블 수준 ACL만 사용할 수 있습니다. 명시적 ACL 세트가 없는 모든 것을 "허용"하도록 설정하면 조작에 취약합니다.
- CVSS 점수(신규): 6.3
- CVSS 점수(이전): 8.8
- 규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.
|
| 첨부 파일에 인증되지 않은 접근 제한 |
|
| 포함된 HTML 코드 사용 안 함[보안 센터 1.3에서 업데이트됨] |
- 설명(신규):
[code] 태그를 사용하여 포함된 HTML 코드 표시 지원을 비활성화합니다. 이 태그를 사용하면 렌더링된 HTML을 저널 필드에 표시할 수 있으며 XSS(교차 사이트 스크립팅) 공격으로 이어질 수 있습니다. 이러한 공격을 통해 외부 스크립트가 로그인된 브라우저의 컨텍스트에서 사용자 세션에 실행될 수 있습니다. 공격자는 이러한 스크립트를 사용하여 세션 정보와 중요한 데이터를 훔칠 수 있습니다. HTML 언어는 스크립트와 서식을 분리하도록 설계되지 않았기 때문에 모든 시스템에서 사용자 제어 HTML을 허용하는 것은 고유한 위험이 있습니다.
glide.ui.security.codetag.allow_script을 false로 설정하면 규정을 준수하며 이 위험을 크게 줄일 수 있지만 몇 가지 작은 위험이 남아 있습니다. 코드 태그의 스크립트 부분만 비활성화하고 HTML에서 알려진 모든 스크립트 규칙을 정리합니다. 저널 필드와 양식에 렌더링된 HTML이 표시되지 않도록 하려면 glide.ui.security.allow_codetag 시스템 속성을 아니오 로 설정합니다. ServiceNow AI Platform 이스케이프 및 인코딩 기술을 구현하여 많은 삽입 및 교차 사이트 공격을 완화합니다. 따라서 사용자는 저널 필드에 대한 HTML 형식의 입력을 작성하거나 제출할 수 없습니다. 그러나 저널 필드는 코드 태그 안에 포함된 텍스트를 HTML로 렌더링할 수 있습니다.
- 그러나 관련된 보안 위험이 있습니다. 예로 설정하면 악의적인 사용자가 저널 필드를 렌더링한 후 다른 클라이언트 브라우저에서 실행될 수 있는 유해한 HTML JS 코드를 작성할 수 있습니다.
- 관리자가
[code] 태그에 대한 지원을 사용하지 않도록 설정하여 저널 필드에서 HTML 코드를 렌더링하지 못하도록 하려면 이 속성을 false로 설정합니다.
- 설명(이전): [code] 태그를 사용하여 만든 HTML 코드를 포함하기 위한 지원을 비활성화합니다. "glide.ui.security.allow_codetag"가 "아니오" 값으로 설정되지 않은 경우 저널 필드와 양식에 렌더링된 HTML이 표시되지 않습니다. 표시된 포함된 HTML 코드로 "glide.ui.security.allow_codetag"을 "예"로 설정하면 XSS(교차 사이트 스크립팅) 공격으로 이어질 수 있습니다.
|
| 암호 재설정 정책 검사 사용 |
규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다. |
| 이메일 스팸 점수 매기기 및 필터링 사용 |
- 기술 구성 이름(신규): com.glide.email_filter,glide.email.read.active
- 기술 구성 이름(이전): com.glide.email_filter
- 규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.
|
| 이스케이프 Excel 수식 [보안 센터 1.3에서 업데이트됨] |
- 설명(신규):
Excel과 같은 프로그램의 수식을 이스케이프하여 파일을 내보내고 연 후 잠재적으로 악의적인 수식이 실행되지 않도록 합니다. Excel 삽입은 웹 사이트에서 Excel 파일 내에 신뢰할 수 없는 항목을 포함할 때 발생합니다. Microsoft Excel 또는 LibreOffice Call과 같은 스프레드시트 응용 프로그램을 사용하여 파일을 열 때 +, -, = 또는 @로 시작하는 모든 셀은 제대로 이스케이프하지 않는 한 수식으로 해석됩니다. 악성 수식은 스프레드시트에 민감한 정보가 포함되어 있지 않더라도 코드 실행을 통해 뷰어의 컴퓨터를 손상시키는 데 사용될 수 있으므로 위험을 초래합니다. 이러한 수식이 실행되지 않도록 glide.export.escape_formulas 시스템 속성을 true 로 설정합니다.
- 설명(기존): 속성 "glide.export.escape_formulas"을 권장 값인 "true"로 설정하면 Excel과 같은 프로그램의 잠재적으로 악의적인 수식이 파일을 내보내고 연 후에 실행되지 않습니다. CSV, Xls 및 XLSX에 대한 셀 값은 악성 코드 실행으로 이어질 수 있는 제대로 이스케이프하지 않는 한 스프레드시트 애플리케이션에서 수식으로 해석할 수 있습니다.
- CVSS 점수(신규): 6.4
- CVSS 점수(이전): 6.5
|
| JSONP 요청을 신뢰할 수 있는 URL로 제한 [Security Center 1.3에서 업데이트됨] |
- 설명(신규):
AngularJS $http 서비스에 대해 신뢰할 수 있는 URL만 JSONP 요청을 허용/거부할 수 있도록 하여 인스턴스의 보안을 강화합니다. JSONP 요청은 이러한 속성이 구성되고 활성화되지 않은 경우 모든 URL에 허용됩니다. angular.jsonp.inclusion_list.urls 시스템 속성의 값을 사용하여 신뢰할 수 있고 이 목적을 허용하는 URL 목록을 정의합니다. angular.jsonp.inclusion_list.enabled 시스템 속성의 값을 true로 설정하여 허용되는 JSONP를 angular.jsonp.inclusion_list.urls에 나열된 URL로만 제한합니다.
- 설명(이전): 이 속성은 angularJS $http 서비스에 대한 신뢰할 수 있는 URL을 지정하여 JSONP 요청을 허용/거부합니다. 속성은 고객의 변경 사항을 위반할 가능성이 있으므로 신뢰할 수 있는 URL을 추가할 방법이 필요합니다. "angular.jsonp.inclusion_list.enabled"가 권장 값인 "true"로 설정되지 않은 경우 JSONP 요청은 모든 URL에 허용됩니다.
|
| SNC 접근 통제 플러그인 사용 |
- 설명(신규):
SNC 접근 제어(com.snc.snc_access_control) 플러그인을 활성화하여 고객 서비스 및 지원 담당자가 사용자의 명시적 허가 없이 인스턴스에 액세스하지 못하게 합니다 ServiceNow . 인스턴스에 대한 모든 액세스가 감사되지만 이 액세스를 제어하는 것을 선호할 수 있습니다. 이 접근 방법은 완전히 감사 및 추적됩니다. 주: 제품을 지원하고 관리할 수 있는 권한이 있는 다른 권한 있는 ServiceNow 운영 담당자는 기본 인프라에 대한 관리 작업을 수행해야 합니다. 이 플러그인을 사용하면 지원 서비스 수준과 가용성 SLA에 영향을 줄 수 있습니다. 그런 다음 가용성 SLA는 지원 담당자가 인스턴스에 대한 액세스 권한을 부여받은 시간부터 측정됩니다. SNC 접근 제어(com.snc.snc_access_control) 플러그인을 활성화하여 명시적인 허가 없이 인스턴스에 대한 액세스를 제한합니다. 이 기능에 대한 자세한 내용은 다음 문서를 참조하십시오 ServiceNow 접근 통제. 활성화 정보는 다음을 참조하십시오. 접근 통제 활성화 ServiceNow
- 설명(기존): SNC 접근 제어(com.snc.snc_access_control) 플러그인을 사용하면 고객 서비스 및 지원 담당자가 사용자의 명시적 허가 없이 인스턴스에 액세스할 수 없습니다. 그러나 제품을 지원하고 관리할 수 있는 다른 공인 ServiceNow 운영 담당자는 기본 인프라에 대한 관리 작업을 수행해야 합니다. 이 인프라에는 SaaS 솔루션을 구성하는 다른 인프라 구성 요소 중에서 서버와 데이터베이스가 포함됩니다. 이 액세스 방법은 완전히 감사 및 추적이 가능합니다. 이 플러그인을 사용하면 명시적 허가 없이 인스턴스에 대한 액세스를 제한할 수 있으므로 지원 서비스 수준 및 가용성 SLA에 영향을 줄 수 있습니다. 그런 다음 가용성 SLA는 지원 담당자가 인스턴스에 대한 액세스 권한을 부여받은 시간부터 측정됩니다.
- 정정(신규): 플러그인 "com.snc.snc_access_control"이 활성화되어 있는지 확인합니다. https://www.servicenow.com/docs/csh?topicname=t_ActivateSNCAccessControl.html&version=latest 에서 활성화에 대한 설명서를 읽으십시오 .
- 정정(기존): 플러그인 "com.snc.snc_access_control"이 활성화되어 있는지 확인합니다.
- CVSS 점수(신규): 3.3
- CVSS 점수(이전): 8.2
|
| 실패한 로그인 잠금 해제 시간 제한 기간 최대화 [보안 센터 1.3에서 업데이트됨] |
- 기술 구성 이름(신규): glide.user.unlock_timeout_in_mins, sysevent_script_action
- 기술 구성 이름(기존): glide.user.unlock_timeout_in_mins
- 설명(신규):
사용자가 잠긴 후 로그인을 시도할 수 없는 기간을 정의하여 무차별 암호 대입 공격으로부터 인스턴스를 보호할 수 있습니다. glide.user.unlock_timeout_in_mins 시스템 속성은 값에 지정된 기간 이후에 사용자 계정의 잠금을 해제합니다. 값을 지정하지 않으면 인스턴스가 기본 기간인 15분 후에 사용자 계정의 잠금을 해제합니다.
- 설명(기존): "glide.user.unlock_timeout_in_mins"이 권장 값인 "15"로 설정되지 않은 경우 더 빠른 시간 범위에서 계정을 강제 적용하는 것이 더 쉬울 수 있습니다. 이 속성은 glide.user.unlock_timeout_in_mins 속성에 지정된 기간 후에 사용자 계정의 잠금을 해제합니다. 값을 지정하지 않으면 기본 기간인 15분 후에 시스템이 사용자 계정의 잠금을 해제합니다.
- 정정(신규):
glide.user.unlock_timeout_in_mins 시스템 속성 값을 최소 15로 설정합니다. glide.user.unlock_timeout_in_mins 없는 경우 기본 잠금 시간은 15분으로 설정됩니다. 자동 잠금 해제로 SNC 사용자 잠금 확인(스크립트 작업 [sysevent_script_action] 테이블에 있음) 스크립트 작업이 있고 활성 상태인지 확인합니다. 자동 잠금 해제로 SNC 사용자 잠금 확인 스크립트 작업은 com.glide.high_security(높은 보안 설정) 플러그인과 함께 설치됩니다.
- 정정(기존): 속성 "glide.user.unlock_timeout_in_mins"이 "15" 이상으로 설정되어 있는지 확인합니다.
- 규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.
|
| 특정 IP 범위 플러그인에 접근 제한 |
- 기술 구성 이름(신규): com.snc.ipauthenticator,ip_access
- 기술 구성 이름(기존): com.snc.ipauthenticator
|
| 빈 대상 테이블이 있는 이메일에 접근 제한 |
- CVSS 점수(신규): 6.5
- CVSS 점수(이전): 5.4
|
| 다운로드 가능한 MIME 유형 제한 |
- CVSS 점수(신규): 6.4
- CVSS 점수(이전): 8
|
| MultiSSO 플러그인의 업데이트된 버전 사용 |
- 기술 구성 이름(신규): glide.authenticate.multissov2_feature.enabled
- 기술 구성 이름(기존): glide.authenticate.multisso.enabled,glide.authenticate.multissov2_feature.enabled
- 설명(신규):
인스턴스에서 다중 SSO 플러그인이 활성화된 경우 v2 버전이 활성화되어 있는지 확인하여 보안 취약성을 줄입니다. 최신 버전은 보안을 강화하고 어설션 암호화 지원 및 IDP 시작 SLO(단일 로그아웃)와 같은 추가 기능을 제공합니다. 최신 버전을 활성화하지 않으면 새 보안 기능을 사용할 수 없으며 인스턴스가 더 이상 사용되지 않는 플러그인을 사용할 위험이 있습니다. KB0756504의 단계에 따라 최신 버전으로 업그레이드합니다. 이 프로세스에는 커스터마이제이션 관련 변경 내용을 확인하고 마이그레이션한 다음 버전을 업그레이드하는 작업이 포함됩니다. 완료되면 glide.authenticate.multissov2_feature.enabled 시스템 속성이 자동으로 true로 설정됩니다.
- 설명(기존): 인스턴스에서 복수 SSO 플러그인이 활성화된 경우 v2 버전을 활성화해야 합니다. SAML 1.1 및 SAML 2.0을 포함한 MultiSSOv2 이전 버전은 베스트 프랙티스를 따르지 않으며 알려진 CVE가 있는 OpenSAML 라이브러리 버전을 사용합니다. 알려진 CVE가 오래된 OpenSAML 라이브러리에서 악용 가능한 경우 공격자는 XML 서명 래핑 공격을 통해 메시지를 위조하고 인증을 우회하거나, 엔터티를 가장하거나, 중간에서 사람이 플랫폼에 무단으로 액세스할 수 있도록 허용할 수 있습니다.
- CVSS 점수(신규): 0
- CVSS 점수(이전): 7.1
|
| 비활성 사용자의 로그인 방지 |
규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다. |
| MID 감사 로그 사용 |
규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다. |
| 보관 테이블 ACL이 선택되어 있는지 확인 |
규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다. |
| 활성 세션 시간 제한 예외 역할 정의 |
- CVSS 점수(신규): 6.4
- CVSS 점수(이전): 7.1
|
| HTTP 응답 본문 크기 제한 [보안 센터 1.3에 새로 추가 되었으며 1.5에서 업데이트됨] |
|
| UI 활성 세션 수명 제한 |
- 설명(신규):
활성 HTTP 세션의 수명을 줄여 잠재적인 보안 인시던트의 범위를 줄입니다. glide.ui.active.session.life_span 시스템 속성은 비활성 시간 제한에 관계없이 활성 HTTP 세션에 최대 수명을 적용합니다. 최대 수명이 길수록 공격자는 도난당한 세션을 더 오랫동안 사용할 수 있으므로 보안 인시던트의 범위가 늘어날 수 있습니다. 기본값 0 은 활성 세션의 시간 제한을 비활성화합니다. glide.ui.active.session.life_span을 1에서 720 사이의 값으로 설정합니다. 이 값은 HTTP 세션이 활성 상태로 유지될 수 있는 시간(분)을 나타냅니다.
- 설명(이전): 이 구성은 비활성 시간 제한에 관계없이 활성 게스트 HTTP 세션에 최대 수명을 적용합니다. 구성된 값은 분 단위이며 값이 0이면 활성 세션의 시간 초과가 비활성화됩니다. 최대 수명이 길수록 공격자는 도난당한 세션에 더 오래 머물 수 있으므로 보안 인시던트의 범위가 늘어날 수 있습니다. 이 특정 속성은 UI 세션 시간 제한으로 제한됩니다.
|