| 同時インタラクティブセッションの量を最小化する (Security Center 1.3 で更新) |
- 新しい簡単な説明:同時インタラクティブセッション数の最小化
- 以前の簡単な説明:Glide 認証:同時インタラクティブセッション数の最大化
|
| 証明書の信頼を強制する (Security Center 1.3 で更新、 2.0 で削除、7.0 で追加) |
- 新しい簡単な説明:証明書の信用を強制する
- 以前の簡単な説明: 証明書の信用
|
| パスワードリセット SMS の複雑さを最大化する |
- 新しい簡単な説明:パスワードリセット SMS の複雑さを最大化する
- 以前の簡単な説明:パスワードリセット SMS の複雑さ
|
| 高セキュリティプラグインを有効化する |
- 新しい簡単な説明: High Security プラグインを有効にする
- 以前の簡単な説明: High Security プラグイン
|
| 厳格なセッション Cookie のセキュリティを強制する |
- 新しい簡単な説明:厳格なセッション Cookie のセキュリティを強制する
- 以前の簡単な説明:安全なセッション Cookie
|
| アクティブな SAML 構成でデモ認証を使用しない |
- 新しい簡単な説明:アクティブな SAML 構成でデモ認証を使用しない (プラグイン適用:複数プロバイダーのシングルサインオン)
- 以前の簡単な説明:アクティブな SAML 構成でデモ認証を使用しない
|
| XMLDocument2 ストリーミングパーサー内のエンティティ拡張を無効にする |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| 許可された Java パッケージを制限する (セキュリティセンター 1.3 で更新) |
- 新しい簡単な説明:許可された Java パッケージを制限する
- 以前の簡単な説明:Java パッケージ許可リスト
|
| モバイルアプリ UI の難読化を必須とする |
- 新しい簡単な説明:モバイルアプリ UI の難読化を必須とする
- 以前の簡単な説明:モバイルアプリ UI 難読化
|
| お気に入りへのパブリックアクセスを無効にする (セキュリティセンター 1.3 および 2.0 で更新) |
- 新しい簡単な説明:お気に入りへのパブリックアクセスを無効にする
- 以前の簡単な説明:お気に入りへのパブリックアクセス
|
| JavaScript をエスケープ (セキュリティセンター 1.3 で更新) |
- 新しい説明:glide プロパティ glide.html.escape_script は、HTML フィールドのサニタイズに役立ちます。glide.html.escape_script が推奨値の true に設定されていない場合、埋め込み JavaScript を削除することで、バックエンド Java コンテキストから HTML フィールド (出力エンコーディング) の入力はサニタイズされません。HTML フィールドの Javascript は、XSS を保存して反映させる可能性があります。XSS 機能により、アドミンなどの上位ロールへの権限の昇格が容易になり、横方向の移動を実行しやすくなります。
- 以前の説明:glide プロパティ glide.html.escape_script は、HTML フィールドのサニタイズに役立ちます。glide.html.escape_script が推奨値の true に設定されていない場合、埋め込み JavaScript を削除することで、バックエンド Java コンテキストから HTML フィールド (出力エンコーディング) の入力はサニタイズされません。HTML フィールドの Javascript は、XSS を保存して反映させる可能性があります。XSS 機能により、アドミンなどの上位ロールへの権限の昇格が容易になり、横方向の移動を実行しやすくなります。
|
| サードパーティ Web サイトの埋め込みを防ぐために Xframe オプションを設定する |
- 新しい簡単な説明: サードパーティ Web サイトの埋め込みを防ぐために Xframe オプションを設定する
- 以前の簡単な説明:Xframe オプション
- 新しい説明:com.glide.cs.embed.xframe_options が推奨値の DENY または SAMEORIGIN に設定されていない場合、Web アプリケーションのコンテンツは ALLOW-FROM URI を使用してサードパーティサイトに埋め込まれる可能性があります。信頼できないサードパーティサイトを許可すると、クリックジャッキングなどの攻撃が可能になる可能性があります。
- 以前の説明:com.glide.cs.embed.xframe_options が推奨値の DENY または SAMEORIGIN に設定されていない場合、Web アプリケーションのコンテンツは ALLOW-FROM URI を使用してサードパーティサイトに埋め込まれる可能性があります。信頼できないサードパーティサイトを許可すると、クリックジャッキングなどの攻撃が可能になる可能性があります。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| リストビューでの HTML をエスケープ (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい簡単な説明:リストビューで HTML をエスケープ
- 以前の簡単な説明:HTML をエスケープ
|
| クラシックモバイルアプリ UI の難読化を必須とする (セキュリティセンター 1.3 で更新) |
- 新しい簡単な説明:クラシックモバイルアプリ UI の難読化を必須とする
- 以前の簡単な説明:クラシックモバイルアプリ UI の難読化
|
| 空の ACL でデフォルトで拒否する (Security Center 1.3 で更新) |
- 新しい簡単な説明:空の ACL でデフォルトで拒否する
- 以前の簡単な説明:セキュリティマネージャーのデフォルト拒否
- 新しい説明:glide.sm.default_mode が推奨値の「拒否」に設定されていない場合、そのリソースに対して ACL が定義されていなければ、インスタンスの従来のセキュリティマネージャーによるリソースへのアクセスが許可されます。テーブルレベルのワイルドカード ACL のみが定義されている場合も同様です。これを「許可」に設定すると、明示的な ACL が設定されていないものはすべて操作の影響を受ける可能性があります。
- 以前の説明:glide.sm.default_mode が推奨値の「拒否」に設定されていない場合、そのリソースに対して ACL が定義されていなければ、従来のセキュリティマネージャーによるリソースへのアクセスが許可されます。テーブルレベルのワイルドカード ACL のみが定義されている場合も同様です。これを「許可」に設定すると、明示的な ACL が設定されていないものはすべて操作の影響を受ける可能性があります。
|
| パスワードリセット要求の再試行ウィンドウの持続期間を最大化する |
- 新しい簡単な説明:パスワードリセット要求の再試行ウィンドウの持続期間を最大化する
- 以前の簡単な説明:パスワードリセット要求の再試行ウィンドウ
|
| XSD 要求に対する認証を必須とする |
- 新しい簡単な説明:XSD 要求に対する認証を必須とする
- 以前の簡単な説明:XSD 要求認証
- 新しい修正:プロパティ glide.basicauth.required.xsd が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.xsd が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| Jelly スクリプトをエスケープ (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい簡単な説明:Jelly スクリプトをエスケープ
- 以前の簡単な説明:Jelly をエスケープ
|
| 受信トランザクションをダブルチェック |
- 新しい修正:プロパティ glide.security.strict.updates が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.security.strict.updates が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 静的コンテンツでダウンロード可能なファイルの種類を制限する (セキュリティセンター 1.3 で更新) |
- 新しい簡単な説明:静的コンテンツでダウンロード可能なファイルタイプを制限する
- 以前の簡単な説明:静的コンテンツからのダウンロードするファイルタイプの制限
|
| PDF 要求に認証を必須とする |
- 新しい簡単な説明:PDF 要求に認証を必須とする
- 以前の簡単な説明:PDF 要求認証
- 新しい修正:プロパティ glide.basicauth.required.pdf が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.pdf が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| アップロードされる MIME タイプを制限する |
- 新しい簡単な説明:アップロードされる MIME タイプを制限する
- 以前の簡単な説明:アップロード MIME タイプの制限
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| レガシー JQuery 動作を無効にする |
- 新しい簡単な説明:レガシー JQuery 動作を無効にする
- 以前の簡単な説明:レガシー JQuery 動作
|
| パスワードリセット要求のロック解除ウィンドウの持続期間を最大化する |
- 新しい簡単な説明:パスワードリセット要求のロック解除ウィンドウの持続期間を最大化する
- 以前の簡単な説明:パスワードリセット要求のロック解除ウィンドウ
|
| MultiSSO のデバッグを無効にする |
- 新しい簡単な説明:MultiSSO のデバッグを無効にする (プラグインの適用性:複数プロバイダーのシングルサインオン)
- 以前の簡単な説明:MultiSSO のデバッグを無効にする
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 本番インスタンスの動作を強制する |
- 新しい簡単な説明:本番インスタンスの動作を強制する
- 以前の簡単な説明:本番インスタンスの動作
|
| 無効なパスワードリセットの試行回数を制限する |
- 新しい簡単な説明:パスワードリセット要求の最大試行回数を最小化する
- 以前の簡単な説明:パスワードリセット要求の最大試行回数
|
| csv 要求に認証を必須とする (Security Center 1.3 で更新) |
- 新しい簡単な説明:CSV 要求に認証を必須とする
- 以前の簡単な説明:CSV 要求認証
- 新しい修正:プロパティ glide.basicauth.required.csv が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.csv が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| パスワードリセット要求の成功ウィンドウの持続期間を最小化する |
- 新しい簡単な説明:パスワードリセット要求の成功ウィンドウの持続期間を最小化する
- 以前の簡単な説明:パスワードリセット要求の成功ウィンドウ
|
| SOAP 要求の厳格なセキュリティを強制する |
- 新しい簡単な説明:SOAP 要求の厳格なセキュリティを強制する
- 以前の簡単な説明:SOAP 要求の厳格なセキュリティ
|
| SOAP 要求に認証を必須とする |
- 新しい簡単な説明:SOAP 要求に認証を必須とする
- 以前の簡単な説明:SOAP 要求認証
- 新しい説明:glide プロパティ glide.basicauth.required.soap は、インスタンスへの SOAP 要求を行うために認証が必要かどうかを制御します。glide.basicauth.required.soap が推奨値の true に設定されていない場合、インスタンスでの SOAP 要求の認証は無効になります。アドミニストレーターレベルまたはメンテナンスレベルの操作への認証されていないアクセスが可能になり、インスタンス内のセキュリティ制御が無効になります。
- 以前の説明:glide プロパティ glide.basicauth.required.soap は、インスタンスへの SOAP 要求を行うために認証が必要かどうかを制御します。glide.basicauth.required.soap が推奨値の true に設定されていない場合、インスタンスでの SOAP 要求の認証は無効になります。アドミニストレーターレベルまたはメンテナンスレベルの操作への認証されていないアクセスが可能になり、インスタンス内のすべてのセキュリティ制御が無効になります。
- 新しい修正:プロパティ glide.basicauth.required.soap が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.soap が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 許可リストを使用した XMLdoc2 エンティティ検証を必須とする |
- 新しい簡単な説明:allowlistDisable エンティティ拡張のある XMLdoc2 エンティティ検証を必須とする
- 以前の簡単な説明:allowlistDisable エンティティ拡張のある XMLdoc2 エンティティ検証
|
| ドット連結フィールドにドメインセパレーションを適用する |
- 新しい簡単な説明:ドット連結フィールドにドメインセパレーションを適用する (プラグインの適用性:ドメインセパレーション)
- 以前の簡単な説明:ドメインセパレーションを適用
- 新しい説明:このプロパティは、ドット連結フィールドのドメインセパレーション機能を確実に適用するために、結合クエリにドメインセパレーション条件を指定するかどうかを制御します。ドメインセパレーションを使用しているインスタンスで glide.sys.domain.include_domain_condition_on_join が推奨値である true に設定されていない場合、特定のドメインと共有されない機密情報が公開される可能性があります。
- 以前の説明:このプロパティは、ドット連結フィールドのドメインセパレーション機能を確実に適用するために、結合クエリにドメインセパレーション条件を指定するかどうかを制御します。glide.sys.domain.include_domain_condition_on_join が推奨値である true に設定されていない場合、特定のドメインと共有されない機密情報が公開される可能性があります。
- 新しい修正:ドメインセパレーションプラグインがアクティブな場合、プロパティ glide.sys.domain.include_domain_condition_on_join が true に設定されていることを確認します。
- 以前の修正:プロパティ glide.sys.domain.include_domain_condition_on_join が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| JSONP 要求を信頼できる URL に制限する (Security Center 1.3 で更新) |
- 新しい簡単な説明:JSONP 要求を信頼できる URL に制限する
- 以前の簡単な説明:JSONP 要求包含リスト
- 新しい説明:このプロパティは、angularJS $http サービスの信頼できる URL を指定して、JSONP 要求を許可/拒否します。これにより顧客の変更が破棄される可能性があるため、プロパティが必要です。そのため、信頼できる URL を追加する方法が必要です。 angular.jsonp.inclusion_list.enabled が推奨値の true に設定されていない場合、任意の URL に対する JSONP 要求が許可されます。
- 以前の説明:このプロパティは、angularJS $http サービスの信頼できる URL を指定して、JSONP 要求を許可/拒否します。これにより顧客の変更が破棄される可能性があるため、プロパティが必要です。そのため、信頼できる URL を追加する方法が必要です。angular.jsonp.inclusion_list.enabled が推奨値の true に設定されていない場合、任意の URL に対する JSONP 要求が許可されます。
|
| 1 日あたりのパスワードリセット SMS の最大数を最小化する |
- 新しい簡単な説明:1 日あたりのパスワードリセット SMS の最大数を最小化する
- 以前の簡単な説明:1 日あたりのパスワードリセット SMS の最大数
|
| パスワードリセット検証遅延期間を最大化する |
- 新しい簡単な説明:パスワードリセット検証遅延期間を最大化する
- 以前の簡単な説明:パスワードリセットの検証遅延
- 新しい説明:password_reset.verification.delay が推奨値の 1000 以上に設定されていない場合、ログインは総当たり攻撃の影響を受けやすくなります。このミリ秒数の遅延は、悪意のある攻撃者が自動化ツール (「ボット」) を使用してユーザーの識別または検証の詳細を推測しようとする機能を制限します。
- 以前の説明:password_reset.verification.delay が推奨値の 1000 以上に設定されていない場合、ログインは総当たり攻撃の影響を受けやすくなります。このミリ秒数の遅延は、ハッカーが自動化ツール (「ボット」) を使用してユーザーの識別または検証の詳細を推測しようとする機能を制限します。
|
| データブローカー REST API に認証を必須とする (Security Center 1.3 で更新) |
- 新しい簡単な説明:データブローカー REST API に対する認証を必須とする
- 以前の簡単な説明:データブローカー Rest API 認証
- 新しい説明:glide.basicauth.required.databrokerrestapiprocessor が推奨値の true に設定されていない場合、すべての受信データブローカー Rest API 要求に基本認証は必要ありません。これにより、インスタンスから非認証の情報が開示される可能性があります。
- 以前の説明:Utah リリース以降、glide.basicauth.required.databrokerrestapiprocessor が推奨値の true に設定されていない場合、すべての受信データブローカー Rest API 要求に基本認証は必要ありません。これにより、インスタンスから非認証の情報が開示される可能性があります。
- 新しい修正:プロパティ glide.basicauth.required.databrokerrestapiprocessor が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:Utah リリース以降を実行しているインスタンスでプロパティ glide.basicauth.required.databrokerrestapiprocessor が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| JSONv2 要求に対する認証を必須とする |
- 新しい簡単な説明:JSONv2 要求に対する認証を必須とする
- 以前の簡単な説明:JSONv2 要求認証
- 新しい修正:プロパティ glide.basicauth.required.jsonv2 が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.jsonv2 が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 埋め込み HTML で JavaScript タグを無効にする |
- 新しい簡単な説明:埋め込み HTML で JavaScript タグを無効にする
- 以前の簡単な説明:埋め込み HTML で Javascript タグを許可する
- 新しい修正:プロパティ glide.ui.security.codetag.allow_script が sys_properties テーブルにあり、false に設定されていることを確認します。
- 以前の修正:プロパティ glide.ui.security.codetag.allow_script が false に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| セキュリティのジャンプスタートプラグイン (ACL ルール) を有効化する |
- 新しい簡単な説明:Security Jump Start プラグイン (ACL ルール) を有効にする
- 以前の簡単な説明:Security Jump Start プラグイン (ACL ルール)
|
| SOAP 要求のゲストユーザーを設定する |
- 新しい簡単な説明:SOAP 要求のゲストユーザーを設定する
- 以前の簡単な説明:SOAP 要求のゲストユーザー
|
| XML 外部エンティティを制限する |
- 新しい簡単な説明:XML 外部エンティティを制限する
- 以前の簡単な説明:XML エンティティ検証 URL 許可リスト
|
| ACL を有効にしてライブプロファイルの詳細をコントロールする |
- 新しい簡単な説明:ACL を有効にしてライブプロファイルの詳細をコントロールする
- 以前の簡単な説明:ACL を有効にしてライブプロファイルの詳細をコントロールする
|
| カスタムジャーナルエントリへのアクセスを制限する (セキュリティセンター 1.3 で更新、2.0 で削除) |
- 新しい簡単な説明:カスタムジャーナルエントリへのアクセスを制限する
- 以前の簡単な説明:安全なカスタムジャーナルエントリ
- 新しい説明:glide.live_feed.custom_journal.acl_check_enabled が推奨値の true に設定されていない場合、すべてのユーザーはライフフィード機能内のすべてのジャーナルエントリを表示できます。プロパティを true に設定すると、推奨機能であるカスタムジャーナルフィールドの ACL が優先されます。
- 以前の説明:glide.live_feed.custom_journal.acl_check_enabled が推奨値の true に設定されていない場合、すべてのユーザーはすべてのジャーナルエントリを表示できます。プロパティを true に設定すると、推奨機能であるカスタムジャーナルフィールドの ACL が優先されます。
|
| パスワードリセットの OTP 期限を 1 時間に設定 (Security Center 2.0 で更新) |
- 新しい説明:このプロパティ glide.pwd_reset.onetime.token.validity を使用すると、パスワードリセットメール内のリンクを、その glide.pwd_reset.onetime.token.validity property で指定された時間の経過後に期限切れにすることができます。パスワードリセットトークンの有効期間は、通常のユーザーエクスペリエンスに応じてできるだけ短く保つ必要があります。パスワードリセットトークンの有効期間が長いと、悪意のある攻撃者がアカウントを乗っ取りやすくなります。
- 以前の説明:このプロパティ glide.pwd_reset.onetime.token.validity を使用すると、パスワードリセットメール内のリンクを、その glide.pwd_reset.onetime.token.validity プロパティで指定された時間の経過後に期限切れにすることができます。パスワードリセットトークンの有効期間は、通常のユーザーエクスペリエンスに応じてできるだけ短く保つ必要があります。パスワードリセットトークンの有効期間が長いと、ハッカーがアカウントを乗っ取りやすくなります。
|
| 委託開発者の読み取りアクセスを制限する (Security Center 1.3 で更新) |
- 新しい簡単な説明:委託開発者の読み取りアクセスを制限する
- 以前の簡単な説明: 委任開発者の読み取りアクセス許可リスト
|
| インスタンスの IP 許可リストのスコープを縮小する |
- 新しい簡単な説明:許可される ServiceNow 内部 IP アドレスを定義する
- 以前の簡単な説明:IP アドレスのアクセス許可リスト
|
| SOAP コンテンツタイプの検証 |
- 新しい簡単な説明:SOAP コンテンツタイプの検証
- 以前の簡単な説明:SOAP コンテンツタイプのチェック
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| Excel 要求に認証を必須とする |
- 新しい簡単な説明:Excel 要求に対する認証を必須とする
- 以前の簡単な説明:Excel 要求認証
- 新しい修正:プロパティ glide.basicauth.required.excel が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.excel が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| API 要求に認証を必須とする |
- 新しい簡単な説明:API 要求に認証を必須とする
- 以前の簡単な説明:API 要求認証
- 新しい修正:プロパティ glide.basicauth.required.api が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.api が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| GlideXMLUtil スクリプト可能項目のエンティティ拡張しきい値を最小化する |
- 新しい簡単な説明:エンティティ拡張しきい値を最小化する
- 以前の簡単な説明:エンティティ拡張しきい値の設定
|
| パスワードリセット/変更プロセス中にユーザーに通知する (Security Center 1.5 で削除) |
- 新しい簡単な説明:パスワードリセット/変更プロセス中にユーザーに通知する
- 以前の簡単な説明:パスワードリセット/変更通知プロセス
- 新しい修正:パスワード変更またはリセットの際にパスワードリセットプロセスがユーザーに通知することを確認します。
- 以前の修正:パスワード変更またはリセットの際にパスワードリセットプロセスがユーザーに通知することを確認します。
|
| レガシー AngularJS 動作を無効にする (Security Center 2.2 で削除) |
- 新しい簡単な説明: レガシー AngularJS 動作を無効にする
- 以前の簡単な説明:レガシー AngularJS 動作
|
| 失敗したログインのロック解除タイムアウト期間を最大化する (セキュリティセンター 1.3 で更新) |
- 新しい簡単な説明:失敗したログインのロック解除タイムアウト期間を最大化する
- 以前の簡単な説明:ログイン失敗後のタイムアウトのロック解除を管理
|
| HTTP のみの Cookie フラグを有効にする |
- 新しい簡単な説明:HTTP のみの Cookie フラグを有効にする
- 以前の簡単な説明:HTTP のみの Cookie フラグ
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| アドミンアプリケーション ACL 範囲を有効にする |
- 新しい簡単な説明:アドミンアプリケーション ACL 範囲を有効にする
- 以前の簡単な説明:スコープ対象の管理アプリケーション ACL の管理
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| UserCookie バージョン 3.1 を有効にする |
- 新しい説明:UserCookie v3 は、プロパティ glide.ui.secure.cookies.use_kmf が無効な場合にのみ生成されます。UserCookie v3 は、HMAC の秘密キーをソースコードに保存し、すべての顧客に対して同一であるため安全ではありません。これは、悪意のある攻撃者がこの 1 つの秘密キーを使用してユーザーセッションを乗っ取る試みの助けになる可能性があります。
- 新しい説明:UserCookie v3 は、プロパティ glide.ui.secure.cookies.use_kmf が無効な場合にのみ生成されます。UserCookie v3 は、HMAC の秘密キーをソースコードに保存し、すべての顧客に対して同一であるため安全ではありません。これは、ハッカーがこの 1 つの秘密キーを使用してユーザーセッションを乗っ取る試みの助けになる可能性があります。
|
| XML 要求に対する認証を必須とする |
- 新しい簡単な説明:XML 要求に対する認証を必須とする
- 以前の簡単な説明:XML 要求認証
- 新しい修正:プロパティ glide.basicauth.required.xml が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.xml が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 外部ユーザー登録リンクの有効期限を最小化する |
- 新しい簡単な説明:外部ユーザー登録リンクの有効期限を最小化する
- 以前の簡単な説明:外部ユーザー登録リンクの有効期限
|
| 受信メールの画像を添付ファイルに変換 (セキュリティセンター 1.3 で更新、1.5 で削除) |
- 新しい簡単な説明:受信メールの画像を添付ファイルに変換
- 以前の簡単な説明:受信メール HTML の変換
|
| SMTP 受信者の数量を最小化する |
- 新しい簡単な説明:SMTP 受信者数を最小化する
- 以前の簡単な説明:最大 SMTP 受信者数
|
| 更新された複数 SSO プラグインのバージョンを有効にする (プラグイン適用:複数プロバイダーのシングルサインオン) |
- 新しい簡単な説明:更新された複数 SSO プラグインのバージョンを有効にする (プラグイン適用:複数プロバイダーのシングルサインオン)
- 以前の簡単な説明:マルチ SSO プラグインの更新されたバージョンが有効
- 新しい CVSS スコア:7.1
- 以前の CVSS スコア:5
|
| 生のデータベースクエリの実行を無効にする (セキュリティセンター 1.3 で更新、2.0 で削除) |
- 新しい簡単な説明:生のデータベースクエリの実行を無効にする
- 以前の簡単な説明:操作レベルのアクセス管理要件
- 新しい説明:このプロパティを使用すると、ユーザーは生の SQL クエリをデータベースで実行できます。これにより、GlideRecord の制限外のテーブルとデータにアクセスできます。glide.db.allow_unsafe_dbi_execute_sql が推奨値の false に設定されていない場合、Glide スクリプト可能項目からの dbi.executeStatement() 呼び出しが可能になります。
- 古い説明:このプロパティを使用すると、ユーザーは生の SQL クエリをデータベースで実行できます。これにより、GlideRecord の制限外のテーブルとデータにアクセスできます。glide.db.allow_unsafe_dbi_execute_sql が推奨値の false に設定されていない場合、Glide スクリプト可能項目からの dbi.executeStatement() 呼び出しが可能になります。
|
| XML マークアップをエスケープ |
- 新しい簡単な説明:XML マークアップをエスケープ
- 以前の簡単な説明:XML のエスケープ
- 新しい修正:プロパティ glide.ui.escape_text が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.ui.escape_text が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| RSS 要求に認証を必須とする |
- 新しい簡単な説明:RSS 要求に認証を必須とする
- 以前の簡単な説明:RSS 要求認証
- 新しい修正:プロパティ glide.basicauth.required.rss が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.rss が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 添付ファイルの許可されるサイズを最小化する |
- 新しい簡単な説明:添付ファイルの許可されるサイズを最小化する
- 以前の簡単な説明:添付ファイルの許可されるサイズを最大化する
|
| 相対リンクを強制する |
- 新しい説明:glide.cms.catalog_uri_relative プロパティは、/ess/catalog.do の URI パラメーターからの相対リンクを適用します。glide.cms.catalog_uri_relative が推奨値の true に設定されていない場合、URL は enforceRelativeURL(url) 関数でサニタイズされません。絶対 URL をパラメーターまたはフィールド値の一部として使用すると、セキュリティリスクが生じる可能性があるため、ソースページは攻撃者が制御する Web サイトにリダイレクトされます。
- 以前の説明:glide.cms.catalog_uri_relative プロパティを使用して、/ess/catalog.do の URI パラメーターからの相対リンクを適用します。glide.cms.catalog_uri_relative が推奨値の true に設定されていない場合、enforceRelativeURL(url) 関数を使用して URL をサニタイズしない可能性があります。
|
| 登録および検証の際の SMS コード通知を有効化する |
- 新しい簡単な説明:登録および検証の際の SMS コード通知を有効化する
- 以前の簡単な説明:登録および検証の SMS コード通知
|
| キャッシュ制御 HTTP ヘッダー値 (セキュリティセンター 1.3 で更新、1.5 で削除) |
- 新しい簡単な説明:HTTP ヘッダー値のキャッシュコントロール
- 以前の簡単な説明:HTTP ヘッダー値のキャッシュコントロール
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 明示的な外部ロールに対して内部アクセスを拒否する (Security Center 1.3 および 1.5 で更新) |
- 新しい簡単な説明:明示的な外部ロールに対して内部アクセスを拒否する
- 以前の簡単な説明:明示的なロールの内部拒否リストを有効にする
- 新しい技術構成名:glide.security.explicit_roles.enable_internal_user_blacklist,glide.security.explicit_roles.internal_user_blacklist
- 以前の技術構成名:glide.security.explicit_roles.enable_internal_user_blacklist
- 新しい説明:これにより外部ユーザーに snc_internal ロールがアサインされなくなります。glide.security.explicit_roles.enable_internal_user_blacklist が推奨値の true に設定されておらず、glide.security.explicit_roles.internal_user_blacklist プロパティが信頼できないユーザークラスのリストに設定されていない場合は、指定されたロールに snc_external ロールではなく snc_internal ロールをアサインすることができます。リストが空の場合、すべてのユーザーにデフォルトで snc_internal ロールが割り当てられます。このプロパティには、少なくともデフォルトのロール csm_consumer_user,customer_contact が含まれている必要があります。これらのプロパティの構成を誤ると、外部ユーザーのアカウントが内部情報にアクセスするリスクが高まります。
- 以前の説明:このプロパティは、外部ユーザーに snc_internal ロールをアサインしないようにします。glide.security.explicit_roles.enable_internal_user_blacklist が推奨値の true に設定されている場合、snc_external ロールをアサインできる glide.security.explicit_roles.internal_user_blacklist property が有効になります。値が false に設定されている場合、 glide.security.explicit_roles.internal_user_blacklist プロパティが無効になります。
- 新しい修正:プロパティ glide.security.explicit_roles.enable_internal_user_blacklist が true に設定されており、プロパティ glide.security.explicit_roles.internal_user_blacklist に危険なアイテム csm_consumer_user, customer_contact が含まれていることを確認します。
- 以前の修正:プロパティ glide.security.explicit_roles.enable_internal_user_blacklist が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| ワンタイム帯域外検証のライフタイム持続期間を最小化する (Security Center 1.3 で更新) |
- 新しい簡単な説明:ワンタイム帯域外検証のライフタイム持続期間を最小化する
- 以前の簡単な説明:短い 1 回限りの帯域外検証ツールの期限
|
| スクリプト要求に認証を必須とする |
- 新しい簡単な説明:スクリプト要求に認証を必須とする
- 以前の簡単な説明:スクリプト要求認証
- 新しい修正:プロパティ glide.basicauth.required.scriptedprocessor が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.scriptedprocessor が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 同時セッション制限プラグインによって同時インタラクティブセッションを最小化する |
- 新しい簡単な説明:同時インタラクティブセッションを制限する
- 以前の簡単な説明:Glide 認証:同時インタラクティブセッションの制限
- 新しい説明:このプロパティは、同時セッション制限 (com.glide.limit.concurrent.sessions) プラグインとともに使用されます。プラグインがアクティブで、プロパティが false に設定されている場合、ユーザーはインスタンス上で任意の数の同時インタラクティブセッションを使用することができます。開いているセッションの数が多いほど、セッションハイジャックが発生する可能性が高いことを意味します。
- 以前の説明:このプロパティは、同時セッション制限 (com.glide.limit.concurrent.sessions) プラグインとともに使用されます。プラグインがアクティブで、プロパティが false に設定されている場合、ユーザーはインスタンス上で任意の数の同時インタラクティブセッションを使用することができます。開いているセッションの数が多いほど、セッションハイジャックが発生する可能性が高いことを意味します。
|
| CSRF 検証をバイパスする警告をユーザーが受け入れるのを防ぐ (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい簡単な説明:CSRF トークンの厳密な検証を強制する
- 以前の簡単な説明:厳格な CSRF 検証
- 新しい説明:このプロパティは、CSRF トークンの厳格な検証を有効にし、CSRF トークンの再利用を防止します。glide.security.csrf.strict.validation.mode が推奨値の true に設定されていない場合、CSRF トークンが再利用され、CSRF 攻撃を招く可能性があります。
- 以前の説明:このプロパティは、CSRF トークンの厳格な検証を有効にし、CSRF トークンの再利用を防止します。glide.security.csrf.strict.validation.mode が推奨値の true に設定されていない場合、CSRF トークンが再利用され、CSRF 攻撃を招く可能性があります。
|
| セッションアクティビティのタイムアウト時間を最小化する |
- 新しい簡単な説明:セッションアクティビティのタイムアウト時間を最小化する
- 以前の簡単な説明:セッションアクティビティのタイムアウト
|
| HTML サニタイザーを有効にする (セキュリティセンター 1.3 で更新) |
- 新しい簡単な説明:HTML サニタイザーを有効にする
- 以前の簡単な説明:HTML サニタイザー
|
| バックグラウンドスクリプトへのアクセスを制限する |
- 新しい説明:このプロパティは、Script Background モジュールへのアクセスに必要なロールを保持します。glide.script_processor.admin が推奨値の admin、security_admin、または maint に設定されていない場合、低い特権ロールを持っているユーザーがインスタンスでバックグラウンドスクリプトを実行できます。これにより、ACL システムが完全にバイパスされ、テーブルへのフルアクセスが可能になります。
- 以前の説明:このプロパティは、Script Background モジュールへのアクセスに必要なロールを保持します。glide.script_processor.admin が推奨値の Admin に設定されていない場合、低い特権ロールを持っているすべてのユーザーがインスタンスでバックグラウンドスクリプトを実行できます。これにより、ACL システムが完全にバイパスされ、テーブルへのフルアクセスが可能になります。
- 新しい修正:プロパティ glide.script_processor.admin が admin、security_admin、または maint ロールに設定されていることを確認します。
- 以前の修正:プロパティ glide.script_processor.admin が Admin に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 埋め込み HTML コードを無効化する (セキュリティセンター 1.3 で更新) |
- 新しい簡単な説明:埋め込み HTML コードを無効にする
- 以前の簡単な説明:埋め込み HTML コードを無効にする
|
| 絶対的なセッションタイムアウト時間を最小化する |
- 新しい簡単な説明:セッションタイムアウトの絶対時間を最小化する
- 以前の簡単な説明:絶対的なセッションタイムアウト
|
| クライアント呼び出し可能スクリプトインクルードにはデフォルトで認証を必須とする |
- 新しい簡単な説明:クライアント呼び出し可能スクリプトインクルードにはデフォルトで認証を必須とする
- 以前の簡単な説明:クライアント呼び出し可能スクリプトインクルードのプライバシー
|
| GlideSystemUserSession スクリプト作成可能 API へのアクセスを制限する |
- 新しい簡単な説明:GlideSystemUserSession スクリプト作成可能 API へのアクセスを制限する
- 以前の簡単な説明:GlideSystemUserSession スクリプト可能 API へのアクセス
|
| HTML サニタイゼーションを強制する |
- 新しい簡単な説明:HTML のサニタイズを強制する
- 以前の簡単な説明:サニタイズされていない HTML をチェック
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 絶対的なセッションタイムアウト時間を最小化する |
- 新しい簡単な説明:セッションタイムアウトの絶対時間を最小化する
- 以前の簡単な説明:絶対的なセッションタイムアウト
|
| ロールベースの多要素認証を有効にする |
- 新しい簡単な説明:ロールベースのマルチファクター認証を有効にする
- 以前の簡単な説明:ロールベースのマルチファクター認証
|
| SAML の「notBefore」または「notOnOrAfter」の制約期間を最小化する (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい簡単な説明:SAML の「notBefore」または「notOnOrAfter」の制約期間を最小化する (プラグイン適用:複数プロバイダーのシングルサインオン)
- 以前の簡単な説明:SAML の「notBefore」または「notOnOrAfter」制約
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 外部ユーザー登録用の電子メールドメインを制限する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい簡単な説明:外部ユーザー登録用の電子メールドメインを制限する (プラグインの適用性:外部ユーザー登録)
- 以前の簡単な説明:外部ユーザー登録メールドメインの許可リスト
- 新しい修正:プロパティ sn_ext_usr_reg.allowed_email_domains が空の値に設定されていないことを確認します。
- 以前の修正:プロパティ sn_ext_usr_reg.allowed_email_domains が空の値に設定されていないことを確認します。
|
| パスワードリセット SMS の一時停止ウィンドウの持続期間を最大化する |
- 新しい簡単な説明:パスワードリセット SMS の一時停止ウィンドウの持続期間を最大化する
- 以前の簡単な説明:パスワードリセット SMS の一時停止ウィンドウ
- 新しい修正:プロパティ password_reset.sms.pause_window が 2 以上に設定されていることを確認します。
- 以前の修正:プロパティ password_reset.sms.pause_window が 2 に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 発信 SSLv2/SSLv3 接続を無効にする |
- 新しい簡単な説明:発信 SSLv2/SSLv3 接続を無効にする
- 以前の簡単な説明:SSLv2/SSLv3 の無効化
|
| アンロード要求に認証を必須とする |
- 新しい簡単な説明:アンロード要求に認証を必須とする
- 以前の簡単な説明:アンロード要求認証
- 新しい修正:プロパティ glide.basicauth.required.unl が sys_properties_table テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.unl が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| スパムメールのスコアリングとフィルタリングを有効にする |
- 新しい簡単な説明: スパムメールのスコアリングとフィルタリングを有効にする
- 以前の簡単な説明: スパムメールのスコアリングとフィルタリング
|
| LDAP の初期識別名の設定を解除 (セキュリティセンター 1.3 で更新、2.0 で削除) |
- 新しい簡単な説明:LDAP の初期識別名の設定を解除
- 以前の簡単な説明:LDAP の初期識別名
|
| Anti-CSRF トークンを有効にする (セキュリティセンター 1.3 の新機能、1.5 で更新、2.0 で削除) |
- 新しい簡単な説明:Anti-CSRF トークンを有効にする
- 以前の簡単な説明:Anti-CSRF トークン
|
| AJAXGlideRecord ACL チェックを必須とする |
- 新しい簡単な説明:AJAXGlideRecord ACL チェックを必須とする
- 以前の簡単な説明:AJAXGlideRecord ACL チェックの有効化
|
| ユーザーの代理操作をログ記録 |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。検出精度を向上させるためにスクリプトが更新されました。 |
| 感染したファイルのダウンロードを許可しない |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| 外部ユーザー登録向けに CAPTCHA を有効にする |
- 新しい簡単な説明:外部ユーザー登録用の Captcha を有効にする (プラグインの適用性:外部ユーザー登録)
- 以前の簡単な説明:外部ユーザー登録向けに Captcha を有効にする
|
| SQL エラーメッセージを無効にする |
- 新しい簡単な説明: SQL エラーメッセージを無効にする
- 以前の簡単な説明:SQL エラーメッセージを無効にする
|
| パスワードリセット要求の有効期限を最小化する |
- 新しい簡単な説明:パスワードリセット要求の有効期限を最小化する
- 以前の簡単な説明:パスワードリセット要求の有効期限
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 無効なパスワードリセット試行に対するロックアウト時間を制御する |
- 新しい簡単な説明:パスワードリセット要求の試行ウィンドウの最大持続期間を最小化する
- 以前の簡単な説明:パスワードリセット要求の最大試行ウィンドウ
|
| ダウンロード可能な MIME タイプを制限する |
- 新しい簡単な説明:ダウンロード可能な MIME タイプを制限する
- 以前の簡単な説明:ダウンロード可能な MIME タイプの拒否リスト
|
| Excel 計算式をエスケープ (Security Center 1.3 で更新) |
- 新しい簡単な説明:Excel 式をエスケープ
- 以前の簡単な説明:Excel 式をエスケープ
|
| コンテキスト依存セキュリティプラグインを有効にする |
- 新しい簡単な説明:コンテキスト依存セキュリティプラグインを有効にする
- 以前の簡単な説明:コンテキスト依存セキュリティプラグイン
|
| アカウント復旧の有効化 |
- 新しい簡単な説明:アカウント復旧の有効化 (プラグインの適用性:複数プロバイダーのシングルサインオン)
- 以前の簡単な説明:アカウント復旧
- 新しい説明:このプロパティは、シングルサインオンをバイパスする機能を特別に指定されたアドミニストレーターにバインドする、アカウント復旧機能を制御します。 glide.sso.acr.enabled が推奨値の true に設定されていない場合、インスタンスでシングルサインオンが有効になっているときに、ローカルのインタラクティブログイン (ユーザー名またはパスワードベース) は有効なままになります。ローカルのインタラクティブログインを排除することで、インスタンスへの不正アクセスの可能性が減少します。
- 以前の説明:このプロパティは、アカウント復旧機能を制御します。glide.sso.acr.enabled が推奨値の true に設定されていない場合、ユーザー ID によるアカウント復旧ができなくなります。
- 新しい CVSS スコア:6.5
- 以前の CVSS スコア:9.1
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| インポート要求に対する認証を必須とする |
- 新しい簡単な説明:インポート要求に対する認証を必須とする
- 以前の簡単な説明:インポート要求認証
- 新しい修正:プロパティ glide.basicauth.required.importprocessor が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.importprocessor が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| SNC アクセスコントロールプラグインを有効化する |
- 新しい簡単な説明:SNC アクセスコントロールプラグインを有効化する
- 以前の簡単な説明:SNC アクセスコントロールプラグイン
|
| 全ノードを対象とした同時セッション制限 |
- 新しい簡単な説明:全ノードを対象とした同時セッション制限
- 以前の簡単な説明:Glide 認証:全ノードを対象とした同時セッション制限
|
| XML 出力要求に対する認証を必須とする |
- 新しい簡単な説明:XML 出力要求に対する認証を必須とする
- 以前の簡単な説明:XML 出力認証
- 新しい修正:プロパティ glide.basicauth.required.xmloutputprocessor が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.xmloutputprocessor が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| Scratchpad のスクリプトをエスケープ |
- 新しい簡単な説明:Scratchpad のスクリプトをエスケープ
- 以前の簡単な説明:Scratchpad をエスケープ
- 新しい説明:スクラッチパッドは、ブラウザでアクセスできるサーバー上の情報を簡単に設定する方法です。アドミンは、任意のレコードの任意のデータなど、あらゆるものをスクリプト化してサーバー上に置くことができます。glide.ui.escape_scratchpad が推奨値の true に設定されていない場合、クロスサイトスクリプティングの脆弱性など、悪意のあるスクリプトが実行される可能性があります。
- 以前の説明:スクラッチパッドは、ブラウザでアクセスできるサーバー上の情報を簡単に設定する方法です。アドミンは、任意のレコードの任意のデータなど、あらゆるものをスクリプト化してサーバー上に置くことができます。glide.ui.escape_scratchpad が推奨値の true に設定されていない場合、クロスサイトスクリプティング脆弱性のような悪意のあるスクリプトを実行する可能性があります。
|
| WSDL 要求に対する認証を必須とする |
- 新しい簡単な説明:WSDL 要求に対する認証を必須とする
- 以前の簡単な説明:WSDL 要求認証
- 新しい修正:プロパティ glide.basicauth.required.wsdl が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.wsdl が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| スキーマ要求に対する認証を必須とする |
- 新しい簡単な説明:スキーマ要求に対する認証を必須とする
- 以前の簡単な説明:スキーマ要求認証
- 新しい修正:プロパティ glide.basicauth.required.schema が sys_properties テーブルにあり、true に設定されていることを確認します。
- 以前の修正:プロパティ glide.basicauth.required.schema が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| ダウンロード可能な MIME タイプを制限する |
- 新しい簡単な説明:ダウンロード可能な MIME タイプを制限する
- 以前の簡単な説明:ダウンロード可能な MIME タイプ
|
| スクリプトサンドボックスで優先度「低」のユーザーのロガーを無効化する |
- 新しい簡単な説明:スクリプトサンドボックスで優先度「低」のユーザーのロガーを無効化する
- 以前の簡単な説明:Glide セキュリティロガーをサンドボックスでログ記録しない
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| x-frame-options: SAMEORIGIN セキュリティヘッダーを実装 |
- 新しい簡単な説明:X-Frame-Options: SAMEORIGIN セキュリティヘッダーを実装
- 以前の簡単な説明:X-Frame-Options: SAMEORIGIN
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| パフォーマンス監視のアクセスを制限する |
- 新しい簡単な説明:パフォーマンスモニタリングのアクセスを制限する
- 以前の簡単な説明:パフォーマンスモニタリング ACL
|
| インポートプロセッサで詳細な SQL エラーメッセージをオフにする |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| パスワードリセット SMS の有効期限を最小化する |
- 新しい簡単な説明:パスワードリセットの SMS 有効期限を最小化する
- 以前の簡単な説明:パスワードリセット SMS の有効期限
|
| 受信メールからユーザーを作成するのを無効にする |
- 新しい簡単な説明:受信メールからユーザーを作成するのを無効にする
- 以前の簡単な説明:ドメインでメールを制限する
- 新しい説明:アドミニストレーターは受信メールからユーザーを自動的に作成するようにメールプロパティを設定できます。このプロパティを安全でない値に設定すると、インスタンスは受信メールから自動的にユーザーを作成します。作成された各ユーザーには、ハードコードされた同じデフォルトのパスワードが指定されるため、ブルートフォースによる認証のバイパスが容易になります。
- 以前の説明:アドミニストレーターは受信メールからユーザーを自動的に作成するようにメールプロパティを設定できます。このプロパティを安全でない値に設定すると、インスタンスは受信メールから自動的にユーザーを作成します。作成された各ユーザーには、ハードコードされた同じデフォルトのパスワードが指定されるため、ブルートフォースによる認証のバイパスが容易になります。
- 新しい修正:プロパティ glide.pop3readerjob.create_caller が false に設定されていることを確認します。
- 以前の修正:プロパティ glide.pop3readerjob.create_caller が false に設定されていることを確認します
|