| SOAP 요청에 대해 권한 부여 필요 [Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새 정정: Glide 속성이 glide.basicauth.required.soap 존재하고 true 값으로 설정되어 있는지 확인합니다. 또는 속성 glide.soap.require_ws_security true로 설정하고 제품 문서에 따라 WS 보안 프로파일을 구성하여 WS 보안에 대한 인스턴스를 구성하십시오. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.basicauth.required.soap true 값으로 설정되어 있는지 확인합니다. 또는 속성을 glide.soap.require_ws_security 예로 설정하고 제품 설명서에 따라 WS 보안 프로파일을 구성하여 WS 보안에 대한 인스턴스를 구성하십시오.
|
|
- 새 정정: 속성이 com.glide.communications.httpclient.ocsp_allow_network_error 존재하고 false로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 com.glide.communications.httpclient.ocsp_allow_network_error false로 설정되어 있는지 확인합니다.
|
| 외부 콘텐츠 URL 사용 안 함[Security Center 2.0에서 업데이트됨] |
- 새 정정: Glide 속성이 glide.ui.url.external.content 존재하고 false 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.ui.url.external.content false로 설정되어 있는지 확인합니다.
- 새로운 CVSS 점수: 7.2
- 이전 CVSS 점수: 8.1
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
|
- 새 정정: Glide 속성이 glide.xml.entity.whitelist 존재하고 "http://java.sun.com/j2ee/dtds/"로 설정되어 있는지, Glide 속성이 glide.xml.entity.whitelist.enabled 존재하고 true 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.xml.entity.whitelist "http://java.sun.com/j2ee/dtds/"으로 설정되고 속성이 glide.xml.entity.whitelist.enabled 예로 설정되어 있는지 확인합니다.
|
| 인증되지 않은 게시된 보고서 사용 안 함[Security Center 2.0에서 업데이트됨] |
- 새 정정: Glide 속성이 glide.report.published_reports.enabled 존재하고 false 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.report.published_reports.enabled false로 설정되어 있는지 확인합니다.
|
| 암호 재설정 정책 검사 사용 [Security Center 2.0에서 업데이트됨] |
- 새 정정: Glide 속성이 glide.enable.password_policy 존재하고 true 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.enable.password_policy 예로 설정되어 있는지 확인합니다.
|
| GlideXMLUtil 스크립트에 대한 엔터티 확장 임계치 최소화[Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새 정정: 속성이 glide.xmlutil.max_entity_expansion 3000 이하로 설정되어 있는지 확인합니다. 인스턴스가 Washington 이상이고 sys_properties 레코드가 없으면 기본 암시적 값은 3000입니다. 인스턴스가 Washington 이하인 경우 인스턴스 관리자가 이름과 glide.xmlutil.max_entity_expansion 값이 3000인 sys_properties 레코드를 생성하는 것이 좋습니다.
- 이전 정정: 속성이 glide.xmlutil.max_entity_expansion 3000 이하로 설정되어 있는지 확인합니다.
|
| 아웃바운드 SSLv2/SSLv3 연결 사용 안 함[Security Center 1.3에서 업데이트됨] |
- 새 정정: Glide 속성이 glide.outbound.sslv3.disabled 존재하고 true 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.outbound.sslv3.disabled 예로 설정되어 있는지 확인합니다.
중요사항: 속성 값은 glide.outbound.sslv3.disabled 안전한 재정의이며 변경 후에는 변경할 수 없습니다.
|
|
- 새로운 간단한 설명: GlideRecord 범위 펜싱 레거시 동작 사용 안 함
- 이전의 간단한 설명: GlideRecord 범위 펜싱 레거시 동작 사용
|
| 업로드된 MIME 유형 제한 [Security Center 1.3 및 2.0에서 업데이트됨] |
- 새 정정: 속성이 glide.security.file.mime_type.validation 존재하고 true로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.security.file.mime_type.validation 예로 설정되어 있는지 확인합니다.
|
| 중첩 식에 대해 Jelly JS 보간 보호 사용 [Security Center 2.0에서 업데이트됨] |
- 새 정정: Glide 속성이 glide.ui.jelly.js_interpolation.protect_nested_expressions 존재하고 true 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.ui.jelly.js_interpolation.protect_nested_expressions 예로 설정되어 있는지 확인합니다.
|
| LDAP 인증에서 SSL 사용[Security Center 1.5 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| UserCookie 버전 3.1 사용 [Security Center 2.0에서 업데이트됨] |
- 새로운 설명 : UserCookie v3는 속성이 glide.ui.secure.cookies.use_kmf is disabled 다음과 같은 경우에만 생성됩니다. UserCookie v3는 HMAC에 대한 비밀 키를 소스 코드에 저장하고 모든 고객에게 동일하기 때문에 안전하지 않습니다. 이를 통해 악의적인 행위자가 사용자 세션을 하이재킹하려는 시도에 이 하나의 비밀 키를 사용할 수 있습니다. 속성을 glide.ui.secure.cookies.use_kmf true로 설정하면 UserCookie v3.1이 사용되며 비밀 키가 KMF와 같은 보안 스토리지에 저장됩니다.
- 이전 설명: UserCookie v3는 속성이 glide.ui.secure.cookies.use_kmf 비활성화된 경우에만 생성됩니다. UserCookie v3는 HMAC에 대한 비밀 키를 소스 코드에 저장하고 모든 고객에게 동일하기 때문에 안전하지 않습니다. 이를 통해 악의적인 행위자가 사용자 세션을 하이재킹하려는 시도에 이 하나의 비밀 키를 사용할 수 있습니다.
- 새 정정: 속성이 glide.ui.secure.cookies.use_kmf 존재하고 true로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.ui.secure.cookies.use_kmf 예로 설정되어 있는지 확인합니다. 즉, UserCookie v3.1이 사용되며 비밀 키가 KMF와 같은 보안 저장소에 저장됩니다.
|
| 1시간으로 암호 재설정 OTP 수명 설정[Security Center 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 사용자 가장 기록 [Security Center 1.3 및 2.0에서 업데이트됨] |
- 새 정정: 속성이 glide.sys.log_impersonation 존재하고 true로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성이 glide.sys.log_impersonation 예로 설정되어 있는지 확인합니다.
|
|
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
|
- 새 정정: Glide 속성이 glide.processors.check_access_before_process 존재하고 true 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 값이 glide.processors.check_access_before_process 항상 예인지 확인합니다.
|
|
- 새 정정: Glide 속성이 glide.active.session.timeout.invalidate.session 존재하고 true 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: Glide 속성을 glide.active.session.timeout.invalidate.session true로 설정합니다.
|
| HR 케이스 관리용 에이전트 작업 공간의 보안 범위 적용 [Security Center 1.5의 새로운 기능 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 보안 범위 라이센스 및 허가 플레이북 적용 [Security Center 1.5의 새로운 기능 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 다운로드 가능한 MIME 유형 제한 [Security Center 1.3 및 2.0에서 업데이트됨] |
- 새로운 설명: 속성이 glide.ui.attachment.force_download_all_mime_types 예 glide.ui.attachment.download_mime_types 로 설정되면 속성이 재정의되어 모든 MIME 유형이 브라우저에서 렌더링되지 않고 다운로드됩니다. 예를 들어, 텍스트/html을 다운로드하면 HTML 파일이 브라우저에서 인라인으로 표시되지 않고 파일로 클라이언트에 다운로드되어 XSS 공격을 방지합니다. XSS는 더 많은 횡적 이동이 가능한 관리자와 같은 더 높은 역할로 쉽게 얻을 수 있는 권한 에스컬레이션으로 이어질 수 있습니다.
- 이전 설명: 속성이 glide.ui.attachment.force_download_all_mime_types 예로 설정되지 않은 경우 glide.ui.attachment.download_mime_types 속성이 재정의되어 모든 MIME 유형이 브라우저에서 렌더링되지 않고 다운로드됩니다. 예를 들어, 텍스트/html을 다운로드하면 HTML 파일이 브라우저에서 인라인으로 표시되지 않고 파일로 클라이언트에 다운로드되어 XSS 공격을 방지합니다. XSS를 사용할 수 있는 기능은 더 많은 측면 이동을 수행할 수 있는 관리자와 같은 더 높은 역할로 쉽게 얻을 수 있는 권한 에스컬레이션으로 이어질 수 있습니다.
- 새 정정: 속성이 glide.ui.attachment.force_download_all_mime_types true로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 없는 경우 기본값은 false입니다.
- 이전 정정: 속성이 glide.ui.attachment.force_download_all_mime_types 예로 설정되어 있는지 확인합니다.
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| 제한된 다운로드 가능한 MIME 유형 정의[Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 감염된 파일 다운로드 사용 안 함[Security Center 1.5 및 2.0에서 업데이트됨] |
- 새로운 설명: 속성이 com.glide.snap.infected_download_allowed 예로 설정되면 바이러스 백신 서비스가 다운되거나 연결할 수 없는 경우 사용자가 검사되지 않은 첨부 파일을 계속 다운로드할 수 있습니다. 즉, 사용자가 악성 파일을 다운로드하여 사용자의 데스크톱을 감염시킬 위험이 있습니다(장치에 다른 엔드포인트 보호가 없는 경우).
- 이전 설명: com.glide.snap.infected_download_allowed 권장 값인 False로 설정하지 않으면 검사되지 않은 악성 파일을 다운로드하여 사용자의 데스크톱을 감염시킬 위험이 있습니다.
- 새 정정: 속성이 com.glide.snap.infected_download_allowed false로 설정되어 있는지 확인합니다.
- 이전 정정: 속성이 com.glide.snap.infected_download_allowed False로 설정되어 있는지 확인합니다.
|
| GlideSystemUserSession 스크립팅 가능한 API에 대한 접근 제한 [보안 센터 1.3 및 2.0에서 업데이트됨] |
- 새로운 설명: gs.addErrorMessageNoSanitizationMessaging() 및 gs.addInfoMessageNoSanitization() 은 로깅 및 알림에 스크립팅 환경 내에서 사용됩니다. 이 속성이 권장 값인 false로 설정되지 않은 경우 샌드박스에서 이 두 가지를 모두 사용할 수 있습니다. 샌드박스는 인증되지 않은 역할 사용자가 사용할 수 있는 권한이 낮은 스크립팅 환경입니다. 이 두 가지 방법 모두 사용자에게 삭제되지 않은 입력을 표시하는 데 사용할 수 있습니다. 삭제되지 않은 입력에 사용자의 브라우저에서 실행되는 위험한 코드가 포함될 수 있으므로 사용자에게 삭제되지 않은 입력을 표시하는 것은 위험합니다. 이는 기존의 반사된 XSS 공격에 활용될 수 있습니다. 반영된 XSS 공격은 세션 하이재킹을 비롯한 여러 시나리오에서 사용될 수 있습니다.
- 이전 설명: Glide 스크립팅 샌드박스 내의 메시징은 로깅 목적으로 사용됩니다. 이 삭제되지 않은 오류 함수를 호출하면 플랫폼이 반영된 XSS 공격에 노출됩니다. XSS 공격은 다른 사람의 세션 쿠키를 훔쳐 쉽게 권한 에스컬레이션을 허용할 수 있습니다. 권장 값인 false로 설정되지 않은 경우 glide.sandbox.usersession.allow_unsanitized_messages 삭제되지 않은 오류 메시징 함수 addErrorMessageNoSanitization 및 addInfoMessageNoSanitization 을 스크립트에 사용할 수 있습니다.
|
| 서비스 조직에 대한 작업 주문 관리 쿼리 규칙 사용 [Security Center 1.5의 새로운 기능 및 2.0에서 업데이트됨] |
- 새로운 설명: 예로 설정될 경우 sn_query_rule 테이블의 규칙/필터는 쿼리 비즈니스 규칙과 읽기 ACL을 통해 로그인한 사용자에게 현장 서비스 관리 관련 테이블(작업 주문 및 작업 주문 작업)에 대한 읽기 권한을 결정하는 데 사용됩니다. 아니요인 경우 쿼리 규칙에 따라 기록이 필터링되지 않습니다. 쿼리 비즈니스 규칙은 보안 확인을 추가합니다. 특히 이 속성은 할당된 영역 또는 영역 구성원 자격에 따라 에이전트, 한정자 및 디스패처에 대한 기록을 필터링합니다. 기록을 읽을 때는 최소 권한의 원칙을 따르는 것이 가장 좋습니다. 이 속성을 예로 설정하지 않으면 현장 서비스 관리 테이블에서 데이터 노출 위험이 증가할 수 있습니다.
- 이전 설명: 예로 설정되면 sn_query_rule 테이블의 규칙/필터는 쿼리 비즈니스 규칙 및 읽기 ACL을 통해 로그인한 사용자에게 현장 서비스 관리 관련 테이블(작업 주문 및 작업 주문 작업)에 대한 읽기 권한을 결정하는 데 사용됩니다. 아니요인 경우 쿼리 규칙에 따라 기록이 필터링되지 않습니다. 쿼리 비즈니스 규칙은 보안 확인을 추가합니다. 특히 이 속성은 할당된 영역 또는 영역 구성원 자격에 따라 에이전트, 한정자 및 디스패처에 대한 기록을 필터링합니다. 기록을 읽을 때는 최소 권한의 원칙을 따르는 것이 가장 좋습니다.
|
|
- 새로운 설명: 이 sn_ext_usr_reg.allowed_email_domains 속성은 ServiceNow 인스턴스에 직접 등록할 수 있는 이메일 주소를 정의합니다. 형식은 domain1.com,domain2.com 같은 허용 가능한 이메일 도메인의 쉼표로 구분된 목록이어야 하며 example@domain2.com 와 같은 이메일이 허용됩니다. 이 허용 가능한 도메인 목록으로 설정되지 않은 경우 sn_ext_usr_reg.allowed_email_domains 이메일 주소가 있는 사용자는 인스턴스에 계정을 등록할 수 있습니다. 정의되지 않은 경우 악의적인 행위자는 원치 않는 도메인의 이메일 주소를 사용해 등록을 수행하여 인스턴스에 대한 인증된 액세스 권한을 얻을 수 있습니다.
- 이전 설명: 이 sn_ext_usr_reg.allowed_email_domains 속성은 ServiceNow 인스턴스에 직접 등록할 수 있는 이메일 주소를 정의합니다. 이 허용 가능한 도메인 목록으로 설정되지 않은 경우 sn_ext_usr_reg.allowed_email_domains 이메일 주소가 있는 사용자는 인스턴스에 계정을 등록할 수 있습니다. 정의되지 않은 경우 악의적인 행위자는 원치 않는 도메인의 이메일 주소를 사용해 등록을 수행하여 인스턴스에 대한 인증된 액세스 권한을 얻을 수 있습니다.
|
|
- 새 설명: 이 속성은 닷워킹 필드에 도메인 분리 기능을 적용하기 위해 조인 쿼리에 도메인 분리 조건이 부여되는지 여부를 통제합니다. glide.sys.domain.include_domain_condition_on_join 가 도메인 분리를 사용하는 인스턴스에서 권장 값인 true로 설정되지 않은 경우 특정 도메인과 공유할 수 없는 중요한 정보가 공개될 수 있습니다. 구성요소가 안전하지 않은 교차 도메인 쿼리에 의존하는 경우 인스턴스에 보통 정도의 기능적 영향이 있을 수 있습니다. 인스턴스는 활성화하기 전에 하위 프로덕션 환경에서 테스트해야 합니다.
- 이전 설명: 이 속성은 닷워킹 필드에 도메인 분리 기능을 적용하기 위해 조인 쿼리에 도메인 분리 조건이 부여되는지 여부를 통제합니다. glide.sys.domain.include_domain_condition_on_join 가 도메인 분리를 사용하는 인스턴스에서 권장 값인 true로 설정되지 않은 경우 특정 도메인과 공유할 수 없는 중요한 정보가 공개될 수 있습니다.
|
| URL 허용 목록 검사 강제 적용[Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새로 정정: 속성이 glide.security.url.whitelist.strict_check true로 설정되어 있는지 또는 속성이 glide.security.url.whitelist 값으로 설정되어 있는지 확인합니다.
- 이전 정정: 속성이 glide.security.url.whitelist.strict_check "예"로 설정되고 속성이 glide.security.url.whitelist 값으로 설정되어 있는지 확인합니다.
|
| SOAP 요청의 게스트 사용자 설정[Security Center 1.3 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 백그라운드 스크립트에 대한 액세스 제한 [Security Center 1.3 및 2.0에서 업데이트됨] |
- 새 설명: 이 속성에는 스크립트 백그라운드 모듈에 액세스하는 데 필요한 역할이 있습니다. 가 admin의 권장 값 및 기본 값으로 설정되지 않은 경우 glide.script_processor.admin 권한이 더 낮은 사용자가 인스턴스에서 백그라운드 스크립트를 실행할 수 있습니다. 이렇게 하면 ACL 시스템을 완전히 바이패스하여 테이블에 대한 전체 액세스가 허용됩니다.
- 이전 설명: 이 속성에는 스크립트 백그라운드 모듈에 액세스하는 데 필요한 역할이 있습니다. 가 권장 값인 admin, security_admin 또는 maint로 설정되지 않은 경우 glide.script_processor.admin 권한이 더 낮은 사용자가 인스턴스에서 백그라운드 스크립트를 실행할 수 있습니다. 이렇게 하면 ACL 시스템을 완전히 바이패스하여 테이블에 대한 전체 액세스가 허용됩니다.
- 새 정정: 속성이 glide.script_processor.admin 관리자로 설정되어 있는지 확인합니다. 이 값은 인스턴스의 기본값입니다.
- 이전 정정: 속성이 glide.script_processor.admin 관리자, security_admin 또는 유지관리 역할로 설정되어 있는지 확인합니다.
|
|
- 새로운 설명: Glide 속성이 com.glide.communications.httpclient.verify_hostname 보안 값인 예로 설정되지 않은 경우 ServiceNow 인스턴스에서 시작된 TLS 연결 중에 원격 호스트가 제공하는 호스트 이름 및 인증서 체인의 유효성이 확인되지 않습니다. 이로 인해 TLS 연결의 보안이 손상되고 두 당사자 간의 통신을 가로채는 중간자 공격이 허용될 수 있습니다. 이로 인해 민감한 데이터가 공개될 수 있습니다.
- 이전 설명: 예로 설정되지 않은 경우 com.glide.communications.httpclient.verify_hostname 두 당사자 간의 통신을 가로채는 중간자 공격이 허용될 수 있습니다. 이 속성을 안전하지 않은 값으로 설정하면 해지 상태 확인을 통해 인증서 체인의 모든 인증을 평가하는 인증서 검증 프로세스를 사용할 수 없습니다. http 클라이언트가 잠재적으로 유해한 호스트 이름에 연결하지 못하도록 하려면 이 속성을 예로 설정합니다.
|
| 잘못된 암호 재설정 시도에 대한 잠금 시간 제어[Security Center 1.3 및 2.0에서 업데이트됨] |
- 새로운 간단한 설명: Control Lockout Time for Invalid Password Reset Attempts
- 이전 간단한 설명: Minimize Reset Password Request Max Attempts Window Duration
- 새로운 설명: 이 password_reset.request.max_attempt_window 속성은 사용자가 로 설정된 최대 실패 시도 횟수를 초과한 후 암호를 재설정하거나 변경하기 위해 기다려야 하는 시간(분) password_reset.request.max_attempt property을 정의합니다. 속성에 대한 password_reset.request.max_attempt_window 시간(분)이 짧으면 암호 재설정을 더 많이 시도할 수 있으므로 무차별 암호 대입이 성공할 위험이 높아집니다. 기본값은 1440분입니다.
- 이전 설명: password_reset.request.max_attempt_window 권장 값인 1440 이하로 설정되지 않은 경우 최대 잘못된 인증 시도 횟수 후에 계정이 잠기지 않으므로 계정 무차별 암호 대입을 수행할 수 있습니다.
- 새 정정: 속성이 password_reset.request.max_attempt_window 1440 이상으로 설정되어 있는지 확인합니다.
- 이전 정정: 속성이 password_reset.request.max_attempt_window 1440 이하로 설정되어 있는지 확인합니다.
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
|
- 새로운 간단한 설명: Disable GlideRecord Scope Fencing Legacy Behavior
- 이전 간단한 설명: Enable GlideRecord Scope Fencing Legacy Behavior
- 새 정정: Glide 속성을 glide.record.legacy_cross_scope_access_policy_in_script false로 설정합니다. sys_properties 테이블에 없는 경우 기본값은 true입니다.
- 이전 정정: Glide 속성을 glide.record.legacy_cross_scope_access_policy_in_script false로 설정합니다.
|
| 잘못된 암호 재설정 시도 제한 [Security Center 1.3에서 업데이트되고 2.0에서 업데이트됨] |
- 새로운 간단한 설명: Limit Invalid Password Reset Attempts
- 이전 간단한 설명: Minimize Reset Password Request Max Attempt Allowance
|