| Exigir autorização para solicitações SOAP [Atualizado na Central de segurança 1,3, 1,5 e 2,0] |
- Nova correção: Garanta a propriedade Glide glide.basicauth.required.soapexiste e está definido com o valor verdadeiro. Como alternativa, configure a instância do WS Security definindo a propriedade glide.soap.require_ws_security como verdadeira e seguindo a documentação do produto para configurar os perfis de segurança WS. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.basicauth.required.soapé definido com o valor verdadeiro. Como alternativa, configure a instância para WS Security definindo a propriedade glide.soap.require_ws_securityPara Verdadeiro e seguindo a documentação do produto para configurar Perfis de segurança WS.
|
|
- Nova correção: Garanta a propriedade com.glide.communications.httpclient.ocsp_allow_network_errorexiste e está definido como falso. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade com.glide.communications.httpclient.ocsp_allow_network_errordefinido como falso.
|
| Desabilitar url de conteúdo externo [Atualizado na Central de segurança 2,0] |
- Nova correção: Garanta a propriedade Glide glide.ui.url.external.contentexiste e está definido com o valor falso. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.ui.url.external.contentdefinido como falso.
- Nova pontuação do CVSS: 7,2
- Pontuação CVSS antiga: 8,1
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova correção: Garanta a propriedade Glide glide.xml.entity.whitelistexiste e está definido como " http://java.sun.com/j2ee/dtds/ E a propriedade Glide glide.xml.entity.whitelist.enabledexiste e está definido com o valor verdadeiro. Se as propriedades não forem exibidas na tabela sys_properties, adicione novos registros.
- Correção antiga: Garanta a propriedade glide.xml.entity.whitelistestá definido como " http://java.sun.com/j2ee/dtds/ " e a propriedade glide.xml.entity.whitelist.enableddefinido como verdadeiro.
|
| Desabilitar relatórios publicados não autenticados [Atualizado na Central de segurança 2,0] |
- Nova correção: Garanta a propriedade Glide glide.report.published_reports.enabledexiste e está definido com o valor falso. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.report.published_reports.enableddefinido como falso.
|
| Habilitar verificações de política de redefinição de senha [Atualizado na Central de segurança 2,0] |
- Nova correção: Garanta a propriedade Glide glide.enable.password_policyexiste e está definido com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.enable.password_policydefinido como verdadeiro.
|
| Minimizar limite de expansão de entidade para GlideXMLUtil programável [Atualizado na Central de segurança 1,3, 1,5 e 2,0] |
- Nova correção: Garanta a propriedade glide.xmlutil.max_entity_expansiondefinido como 3000 ou menos. Se a instância estiver em Washington ou posterior, o valor implícito padrão será 3000 se o registro sys_properties não existir. Se a instância não estiver em Washington ou posterior, a recomendação será que o administrador da instância crie um registro sys_properties com o nome glide.xmlutil.max_entity_expansione o valor 3000.
- Correção antiga: Garanta a propriedade glide.xmlutil.max_entity_expansiondefinido como 3000 ou menos.
|
| Desabilitar conexões SSLv2/SSLv3 de saída [Atualizado na Central de segurança 1.3] |
- Nova correção: Garanta a propriedade Glide glide.outbound.sslv3.disabledexiste e está definido com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.outbound.sslv3.disableddefinido como verdadeiro.
Importante: O valor do glide.outbound.sslv3.disableda propriedade é uma substituição segura e não pode ser alterada depois de alterada.
|
|
- Nova descrição resumida: Desabilitar comportamento legado de Escopo GlideRecord
- Descrição resumida antiga: Habilite o comportamento legado de Escopo GlideRecord
|
| Restringir tipos MIME carregados [Atualizado na Central de segurança 1,3 e 2,0] |
- Nova correção: Garanta a propriedade glide.security.file.mime_type.validationexiste e está definido como verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.security.file.mime_type.validationdefinido como verdadeiro.
|
| Habilitar proteção de interpolação JS Jelly para expressões aninhadas [Atualizado na Central de segurança 2,0] |
- Nova correção: Garanta a propriedade Glide glide.ui.jelly.js_interpolation.protect_nested_expressionsexiste e está definido com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.ui.jelly.js_interpolation.protect_nested_expressionsdefinido como verdadeiro.
|
| Habilitar SSL na autenticação LDAP [Atualizado na Central de segurança 1,5 e 2,0] |
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
| Habilitar UserCookie versão 3,1 [Atualizado na Central de segurança 2,0] |
- Nova descrição: UserCookie v3 é gerado somente quando a propriedade glide.ui.secure.cookies.use_kmf is disabled. UserCookie v3 não é seguro devido ao armazenamento de chave secreta para HMAC no código-fonte e idêntico para todos os clientes. Que pode ajudar agentes mal-intencionados a usar essa chave secreta para tentativas de sequestro de sessões do usuário. Definindo a propriedade glide.ui.secure.cookies.use_kmfUserCookie v3.1 será usado e a chave secreta será armazenada em armazenamento de segurança, como KMF.
- Descrição antiga: UserCookie v3 é gerado somente quando a propriedade glide.ui.secure.cookies.use_kmf está desabilitado. UserCookie v3 não é seguro devido ao armazenamento de chave secreta para HMAC no código-fonte e idêntico para todos os clientes. Que pode ajudar agentes mal-intencionados a usar essa chave secreta para tentativas de sequestro de sessões do usuário.
- Nova correção: Garanta a propriedade glide.ui.secure.cookies.use_kmfexiste e está definido como verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.ui.secure.cookies.use_kmfdefinido como verdadeiro. UserCookie v3.1 será usado e a chave secreta será armazenada no armazenamento de segurança, como o KMF.
|
| Definir a vida de OTP para redefinição de senha como 1 hora [Atualizado na Central de segurança 2,0] |
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
| Registrar representação de usuário [Atualizado na Central de segurança 1,3 e 2,0] |
- Nova correção: Garanta a propriedade glide.sys.log_impersonationexiste e está definido como verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta a propriedade glide.sys.log_impersonationdefinido como verdadeiro.
|
|
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
|
- Nova correção: Garanta a propriedade Glide glide.processors.check_access_before_processexiste e está definido com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Garanta o valor de glide.processors.check_access_before_processé sempre verdadeiro.
|
|
- Nova correção: Garanta a propriedade Glide glide.active.session.timeout.invalidate.sessionexiste e está definido com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.
- Correção antiga: Defina a propriedade Glide glide.active.session.timeout.invalidate.sessionpara verdadeiro.
|
| Impor escopo de segurança do Espaço do agente para Gestão de casos de RH [Novo na Central de segurança 1,5 e atualizado em 2,0] |
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
| Impor playbook de licença e permissão do escopo de segurança [Novo na Central de segurança 1,5 e atualizado na 2,0] |
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
| Restringir tipos MIME para download [Atualizado na Central de segurança 1,3 e 2,0] |
- Nova descrição: Se a propriedade glide.ui.attachment.force_download_all_mime_typesdefinido como verdadeiro e, em seguida, glide.ui.attachment.download_mime_typesA propriedade será substituída para que todos os tipos MIME sejam baixados em vez de renderizados pelo navegador. Por exemplo, baixar texto/html força os arquivos HTML a serem baixados para o cliente como um arquivo, em vez de exibidos em linha no navegador, prevenindo um ataque XSS. O XSS pode levar a escalação de privilégio facilmente alcançada para funções mais altas, como administrador, em que mais movimento lateral pode ser realizado.
- Descrição antiga: Se a propriedade glide.ui.attachment.force_download_all_mime_typesnão está definido como verdadeiro, depois glide.ui.attachment.download_mime_typesA propriedade será substituída para que todos os tipos MIME sejam baixados em vez de renderizados pelo navegador. Por exemplo, baixar texto/html força os arquivos HTML a serem baixados para o cliente como um arquivo, em vez de exibidos em linha no navegador, prevenindo um ataque XSS. A capacidade de ter XSS pode levar à escalação de privilégio facilmente alcançada para funções superiores, como administrador, onde mais movimento lateral pode ser realizado.
- Nova correção: Garanta a propriedade glide.ui.attachment.force_download_all_mime_typesdefinido como verdadeiro. Se a propriedade não existir na tabela sys_properties, o valor padrão será falso.
- Correção antiga: Garanta a propriedade glide.ui.attachment.force_download_all_mime_typesdefinido como verdadeiro.
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
| Definir tipos MIME restritos para download [Atualizado na Central de segurança 1,3, 1,5 e 2,0] |
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
| Download de arquivo infectado [Atualizado na Central de segurança 1,5 e 2,0] |
- Nova descrição: Quando a propriedade com.glide.snap.infected_download_allowedestiver definido como verdadeiro, os usuários ainda poderão baixar anexos não verificados caso o serviço antivírus esteja inativo ou inacessível. Isso significa que é possível que um usuário baixe um arquivo mal-intencionado e arrisque infectar a área de trabalho do usuário (caso não haja outra proteção de endpoint no dispositivo).
- Descrição antiga: Se com.glide.snap.infected_download_allowedNão está definido com o valor recomendado de Falso, então é possível baixar um arquivo mal-intencionado que não foi verificado, levando a um risco de infectar a área de trabalho do usuário.
- Nova correção: Garanta a propriedade com.glide.snap.infected_download_alloweddefinido como falso.
- Correção antiga: Garanta a propriedade com.glide.snap.infected_download_allowedDefinido como Falso.
|
| Restringir acesso à API programável GlideSystemUserSession [Atualizado na Central de segurança 1,3 e 2,0] |
- Nova descrição: gs.addErrorMessageNoSanitizationMessaging() e. gs.addInfoMessageNoSanitization() são usados no ambiente de script para registro em log e notificações. Ambos estarão disponíveis na área restrita se esta propriedade não estiver definida com o valor recomendado de falso. A área restrita é um ambiente de script de baixo privilégio disponível para usuários não autenticados e sem função. Esses métodos podem ser usados para exibir entrada não limpa para um usuário. Exibir entrada não limpa para o usuário é perigoso, pois a entrada não limpa pode conter código perigoso que é executado no navegador do usuário. Isso pode ser utilizado para ataques XSS refletidos tradicionais. Os ataques XSS refletidos podem ser usados em vários cenários, incluindo sequestro de sessão.
- Descrição antiga: As mensagens na área restrita de script do Glide são usadas para fins de registro em log. Chamar esta função de erro não limpa expõe a plataforma a ataques XSS refletidos. Os ataques XSS podem permitir escalação de privilégio fácil, roubando os cookies de sessão de alguém. Se glide.sandbox.usersession.allow_unsanitized_messagesnão está definido com o valor recomendado de falso, as funções de envio de mensagens de erro não limpas AddErrorMessageNoSanitization e. AddInfoMessageNoSanitization estão disponíveis para script.
|
| Habilitar regras de consulta de gestão de ordem de serviço para organizações de serviço [Novo na Central de segurança 1,5 e atualizado em 2,0] |
- Nova descrição: Quando definido como verdadeiro, as regras/filtros da tabela sn_query_rule serão usados para determinar o acesso de leitura às tabelas relacionadas à Gestão de serviços de campo (ordem de serviço e tarefa de ordem de serviço) para o usuário conectado por meio de regras de negócio de consulta e ACLs de leitura. Quando for definida como falsa, os registros não serão filtrados com base nas regras de consulta. As regras de negócio de consulta adicionam validações de segurança adicionais. Especificamente, esta propriedade filtrará registros para agentes, qualificadores e expedidores com base em seu território atribuído ou associação de território. Seguir o princípio do menor privilégio é uma prática recomendada ao ler registros. Quando esta propriedade não está definida como verdadeira, pode haver um risco maior de exposição de dados das tabelas da Gestão de serviços de campo.
- Descrição antiga: Quando definido como verdadeiro, as regras/filtros da tabela sn_query_rule serão usados para determinar o acesso de leitura às tabelas relacionadas à Gestão de serviços de campo (ordem de serviço e tarefa de ordem de serviço) para o usuário conectado por meio de regras de negócio de consulta e ACLs de leitura. Quando for definida como falsa, os registros não serão filtrados com base nas regras de consulta. As regras de negócio de consulta adicionam validações de segurança adicionais. Especificamente, esta propriedade filtrará registros para agentes, qualificadores e expedidores com base em seu território atribuído ou associação de território. Seguir o princípio do menor privilégio é uma prática recomendada ao ler registros.
|
|
- Nova descrição: O. sn_ext_usr_reg.allowed_email_domainsA propriedade define quais endereços de e-mail têm permissão para se registrar automaticamente em uma instância da ServiceNow. O formato deve ser uma lista separada por vírgulas de domínios de e-mail aceitáveis, como domain1.com,domain2.com, em que e-mails como example@domain2.com serão aceitos. Se sn_ext_usr_reg.allowed_email_domainsnão está definido com uma lista de domínios aceitáveis, os usuários com qualquer endereço de e-mail podem registrar contas nas instâncias. Se não definido, agentes mal-intencionados podem realizar o registro usando endereços de e-mail de domínios indesejados para obter acesso autenticado à instância.
- Descrição antiga: O. sn_ext_usr_reg.allowed_email_domainsA propriedade define quais endereços de e-mail têm permissão para se registrar automaticamente em uma instância da ServiceNow. Se sn_ext_usr_reg.allowed_email_domainsnão está definido com uma lista de domínios aceitáveis, os usuários com qualquer endereço de e-mail podem registrar contas nas instâncias. Se não definido, agentes mal-intencionados podem realizar o registro usando endereços de e-mail de domínios indesejados para obter acesso autenticado à instância.
|
|
- Nova descrição: Esta propriedade controla se as consultas de junção recebem condições separadas por domínio ou não, para garantir que elas apliquem a funcionalidade de separação de domínio para campos com referência por pontos. Se glide.sys.domain.include_domain_condition_on_join não estiver definido com o valor recomendado de verdadeiro em uma instância usando separação de domínios, poderão ser divulgadas informações confidenciais que não devem ser compartilhadas com um domínio específico. Pode haver um impacto funcional moderado na instância se os componentes dependerem das consultas entre domínios inseguras. As instâncias devem ser testadas em ambientes de subprodução antes de habilitar.
- Descrição antiga: Esta propriedade controla se as consultas de junção recebem condições separadas por domínio ou não, para garantir que elas apliquem a funcionalidade de separação de domínio para campos com referência por pontos. Se glide.sys.domain.include_domain_condition_on_join não estiver definido com o valor recomendado de verdadeiro em uma instância usando separação de domínios, poderão ser divulgadas informações confidenciais que não devem ser compartilhadas com um domínio específico.
|
| Impor verificação de lista de permissões de URL [Atualizado na Central de segurança 1,3, 1,5 e 2,0] |
- Nova correção: Garanta a propriedade glide.security.url.whitelist.strict_checkestá definido como verdadeiro ou a propriedade glide.security.url.whitelistdefinido como um valor.
- Correção antiga: Garanta a propriedade glide.security.url.whitelist.strict_checké definido como "verdadeiro" e a propriedade glide.security.url.whitelistdefinido como um valor.
|
| Definir usuário convidado para solicitações SOAP [Atualizado na Central de segurança 1,3 e 2,0] |
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
| Restringir acesso ao script em segundo plano [Atualizado na Central de segurança 1,3 e 2,0] |
- Nova descrição: Esta propriedade contém a função necessária para acessar o módulo em segundo plano de script. Se glide.script_processor.adminnão estiver definido com o valor recomendado e padrão de administrador, os usuários com uma função privilegiada inferior poderão executar scripts em segundo plano na instância. Isso levará a um desvio completo do sistema de ACL, permitindo acesso total às tabelas.
- Descrição antiga: Esta propriedade contém a função necessária para acessar o módulo em segundo plano de script. Se glide.script_processor.adminnão estiver definido com o valor recomendado de admin, security_admin ou maint, os usuários com uma função privilegiada inferior poderão executar scripts em segundo plano na instância. Isso levará a um desvio completo do sistema de ACL, permitindo acesso total às tabelas.
- Nova correção: Garanta a propriedade glide.script_processor.adminestá definido como o administrador. Este é o valor padrão nas instâncias.
- Correção antiga: Garanta a propriedade glide.script_processor.adminestá definido com a função admin, security_admin ou maint.
|
|
- Nova descrição: Quando a propriedade Glide com.glide.communications.httpclient.verify_hostnameNão está definido com o valor seguro verdadeiro, o nome de host e a cadeia de certificados apresentados por hosts remotos durante uma conexão TLS iniciada na instância da ServiceNow não são validados. Isso pode comprometer a segurança da conexão TLS e permitir ataques de pessoa intermediária, em que as comunicações entre duas partes são interceptadas. Isso pode levar à divulgação de dados confidenciais.
- Descrição antiga: Se com.glide.communications.httpclient.verify_hostnamenão está definido como verdadeiro. isso pode permitir ataques de pessoa intermediária em que as comunicações entre duas partes são interceptadas. Definir essa propriedade com um valor inseguro desabilita o processo de verificação de certificados, o qual avalia todas as certificações na cadeia de certificados por meio da verificação do status de revogação. Defina esta propriedade como verdadeira para impedir que o cliente http se conecte a um nome de host potencialmente prejudicial.
|
| Controlar tempo de bloqueio para tentativas inválidas de redefinição de senha [Atualizado na Central de segurança 1,3 e 2,0] |
- Nova descrição resumida: Control Lockout Time for Invalid Password Reset Attempts
- Descrição resumida antiga: Minimize Reset Password Request Max Attempts Window Duration
- Nova descrição: O. password_reset.request.max_attempt_windowa propriedade define o número de minutos que um usuário deve esperar para redefinir ou mudar sua senha depois de exceder o número máximo de tentativas malsucedidas definido com password_reset.request.max_attempt property. Um pequeno número de minutos para password_reset.request.max_attempt_windowa propriedade aumenta o risco de forçar brutalmente uma senha com sucesso, pois um número maior de tentativas de redefinição de senha pode ser feito. O padrão de 1440 minutos é recomendado.
- Descrição antiga: Se password_reset.request.max_attempt_windownão está definido com o valor recomendado de 1440 ou menos, então pode ser possível executar a conta bruteforce, pois a conta não será bloqueada após um número máximo de tentativas de autenticação incorretas.
- Nova correção: Garanta a propriedade password_reset.request.max_attempt_windowdefinido como 1440 ou maior.
- Correção antiga: Garanta a propriedade password_reset.request.max_attempt_windowdefinido como 1440 ou menos.
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova descrição resumida: Disable GlideRecord Scope Fencing Legacy Behavior
- Descrição resumida antiga: Enable GlideRecord Scope Fencing Legacy Behavior
- Nova correção: Defina a propriedade Glide glide.record.legacy_cross_scope_access_policy_in_scriptfalso. Quando não está presente na tabela sys_properties, o valor padrão é verdadeiro.
- Correção antiga: Defina a propriedade Glide glide.record.legacy_cross_scope_access_policy_in_scriptfalso.
|
| Limitar tentativas inválidas de redefinição de senha [Atualizado na Central de segurança 1,3 e atualizado em 2,0] |
- Nova descrição resumida: Limit Invalid Password Reset Attempts
- Descrição resumida antiga: Minimize Reset Password Request Max Attempt Allowance
|