| SOAP 要求に認証を必須とする |
- 新しい修正:Glide プロパティ glide.basicauth.required.soap が存在し、値 true に設定されていることを確認します。または、プロパティ glide.soap.require_ws_security を true に設定し、製品ドキュメントに従って WS セキュリティプロファイルを構成して、WS セキュリティのインスタンスを構成します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.basicauth.required.soap が値 true に設定されていることを確認します。または、プロパティ glide.soap.require_ws_security を true に設定し、製品ドキュメントに従って WS セキュリティプロファイルを構成して、WS セキュリティのインスタンスを構成します。
|
| ネットワークエラーに OCSP チェックを強制する |
- 新しい修正:プロパティ com.glide.communications.httpclient.ocsp_allow_network_error が存在し、false に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ com.glide.communications.httpclient.ocsp_allow_network_error が false に設定されていることを確認します。
|
| 外部コンテンツ URL を無効にする |
- 新しい修正:Glide プロパティ glide.ui.url.external.content が存在し、値 false に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.ui.url.external.content が false に設定されていることを確認します。
- 新しい CVSS スコア:7.2
- 以前の CVSS スコア:8.1
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| XML 外部エンティティを制限する |
- 新しい修正:Glide プロパティ glide.xml.entity.whitelist が存在し、「http://java.sun.com/j2ee/dtds/」に設定されていること、および Glide プロパティ glide.xml.entity.whitelist.enabled が存在し、値 true に設定されていることを確認します。これらのプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.xml.entity.whitelist が「http://java.sun.com/j2ee/dtds/」に設定され、プロパティ glide.xml.entity.whitelist.enabled が true に設定されていることを確認します。
|
| 未認証の公開レポートを無効にする |
- 新しい修正:Glide プロパティ glide.report.published_reports.enabled が存在し、値 false に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.report.published_reports.enabled が false に設定されていることを確認します。
|
| パスワードリセットポリシーのチェックを有効にする |
- 新しい修正:Glide プロパティ glide.enable.password_policy が存在し、値 true に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.enable.password_policy が true に設定されていることを確認します。
|
| GlideXMLUtil スクリプト可能項目のエンティティ拡張しきい値を最小化する |
- 新しい修正:プロパティ glide.xmlutil.max_entity_expansion が 3000 以下に設定されていることを確認します。インスタンスが Washington 以降にある場合で、sys_properties レコードが存在しない場合、デフォルトの暗黙的な値は 3000 です。インスタンスが Washington 以降でない場合は、インスタンスアドミンが glide.xmlutil.max_entity_expansion という名前と値 3000 で sys_properties レコードを作成することをお勧めします。
- 以前の修正:プロパティ glide.xmlutil.max_entity_expansion が 3000 以下に設定されていることを確認します。
|
| 発信 SSLv2/SSLv3 接続を無効にする |
- 新しい修正:Glide プロパティ glide.outbound.sslv3.disabled が存在し、値 true に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.outbound.sslv3.disabled が true に設定されていることを確認します。
重要: glide.outbound.sslv3.disabled プロパティの値は安全な上書きであり、いったん変更したら変えることはできません。
|
| GlideRecord スコープフェンシングの従来の動作を無効にする |
- 新しい簡単な説明:GlideRecord スコープフェンシングの従来の動作を無効にする
- 以前の簡単な説明:GlideRecord スコープフェンシングの従来の動作を有効にする
|
| アップロードされる MIME タイプを制限する |
- 新しい修正:プロパティ glide.security.file.mime_type.validation が存在し、true に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.security.file.mime_type.validation が true に設定されていることを確認します。
|
| 入れ子になった式で Jelly JS 補間保護を有効にする |
- 新しい修正:Glide プロパティ glide.ui.jelly.js_interpolation.protect_nested_expressions が存在し、値 true に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.ui.jelly.js_interpolation.protect_nested_expressions が true に設定されていることを確認します。
|
| LDAP 認証で SSL を有効にする (セキュリティセンター 1.5 および 2.0 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| UserCookie バージョン 3.1 を有効にする |
- 新しい説明:UserCookie v3 は、プロパティ: glide.ui.secure.cookies.use_kmf is disabledの場合にのみ生成されます。UserCookie v3 は、HMAC の秘密キーをソースコードに保存し、すべての顧客に対して同一であるため安全ではありません。これは、悪意のある攻撃者がこの 1 つの秘密キーを使用してユーザーセッションを乗っ取る試みの助けになる可能性があります。プロパティ glide.ui.secure.cookies.use_kmf を true に設定すると、UserCookie v3.1 が使用され、秘密キーが KMF などのセキュリティストレージに保存されます。
- 以前の説明:UserCookie v3 は、プロパティ glide.ui.secure.cookies.use_kmf が無効な場合にのみ生成されます。UserCookie v3 は、HMAC の秘密キーをソースコードに保存し、すべての顧客に対して同一であるため安全ではありません。これは、悪意のある攻撃者がこの 1 つの秘密キーを使用してユーザーセッションを乗っ取る試みの助けになる可能性があります。
- 新しい修正:プロパティ glide.ui.secure.cookies.use_kmf が存在し、true に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.ui.secure.cookies.use_kmf が true に設定されていることを確認します。つまり、UserCookie v3.1 が使用され、秘密キーが KMF などのセキュリティストレージに保存されます。
|
| パスワードリセットの OTP 期限を 1 時間に設定 (Security Center 2.0 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| ユーザーの代理操作をログ記録 |
- 新しい修正:プロパティ glide.sys.log_impersonation が存在し、true に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:プロパティ glide.sys.log_impersonation が true に設定されていることを確認します。
|
| 必須の JMS Connection Factory |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| ダッシュボードの作成/削除にはアクセスチェックが必要であることを確認する (Security Center 1.3 の新機能、2.0 で更新) |
- 新しい修正:Glide プロパティ glide.processors.check_access_before_process が存在し、値 true に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:glide.processors.check_access_before_process の値が常に true であることを確認します。
|
| 定義された期間が経過すると、セッションを積極的に無効化します |
- 新しい修正:Glide プロパティ glide.active.session.timeout.invalidate.session が存在し、値 true に設定されていることを確認します。このプロパティが sys_properties テーブルに表示されない場合は、新しいレコードを追加します。
- 以前の修正:Glide プロパティ glide.active.session.timeout.invalidate.session を true に設定します。
|
| HR ケース管理のエージェントワークスペースのセキュリティスコープを適用 (セキュリティセンター 1.5 の新機能、2.0 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| セキュリティスコープライセンスと許可プレイブックを適用 (セキュリティセンター 1.5 の新機能、2.0 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| ダウンロード可能な MIME タイプを制限する |
- 新しい説明:プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されている場合、glide.ui.attachment.download_mime_types プロパティがオーバーライドされ、ブラウザによってレンダリングされるのではなく、すべての MIME タイプがダウンロードされます。たとえば、text/html をダウンロードすると、HTML ファイルはブラウザーでインライン表示されるのではなく、ファイルとしてクライアントに強制的にダウンロードされ、XSS 攻撃を防ぐことができます。XSS により、アドミンなどの上位ロールへの権限の昇格が容易になり、横方向の移動を実行しやすくなります。
- 以前の説明:プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されていない場合、glide.ui.attachment.download_mime_types プロパティがオーバーライドされ、ブラウザによってレンダリングされるのではなく、すべての MIME タイプがダウンロードされます。たとえば、text/html をダウンロードすると、HTML ファイルはブラウザーでインライン表示されるのではなく、ファイルとしてクライアントに強制的にダウンロードされ、XSS 攻撃を防ぐことができます。XSS 機能により、アドミンなどの上位ロールへの権限の昇格が容易になり、横方向の移動を実行しやすくなります。
- 新しい修正:プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されていることを確認します。プロパティが sys_properties テーブルに存在しない場合、デフォルト値は false です。
- 以前の修正:プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| 制限されたダウンロード可能な MIME タイプを定義する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| 感染したファイルのダウンロードを許可しない |
- 新しい説明:プロパティ com.glide.snap.infected_download_allowed が true に設定されている場合、ウイルス対策サービスが停止または到達不可能になった場合でも、ユーザーはスキャンされていない添付ファイルをダウンロードできます。これは、ユーザーが悪意のあるファイルをダウンロードし、ユーザーのデスクトップを感染させるリスクがあることを意味します (デバイスに他のエンドポイント保護がない場合)。
- 以前の説明:com.glide.snap.infected_download_allowed が推奨値の False に設定されていない場合、スキャンされていない悪意のあるファイルがダウンロードされ、ユーザーのデスクトップに感染する可能性があります。
- 新しい修正:プロパティ com.glide.snap.infected_download_allowed が false に設定されていることを確認します。
- 以前の修正:プロパティ com.glide.snap.infected_download_allowed が False に設定されていることを確認します。
|
| GlideSystemUserSession スクリプト作成可能 API へのアクセスを制限する |
- 新しい説明:gs.addErrorMessageNoSanitizationMessaging() と gs.addInfoMessageNoSanitization() は、スクリプティング環境内でログ記録と通知に使用されます。どちらも、このプロパティが推奨値の false に設定されていない場合にサンドボックスで使用できます。サンドボックスは、非認証ユーザーでロールのないユーザーが利用できる、権限の低いスクリプティング環境です。この方法はどちらも、サニタイズされていない入力をユーザーに表示するために使用できます。サニタイズされていない入力には、ユーザーのブラウザで実行される危険なコードが含まれている可能性があるため、サニタイズされていない入力をユーザーに表示することは危険です。これは、従来の反射型 XSS 攻撃に利用されるおそれがあります。反射型 XSS 攻撃は、セッションハイジャックを含む複数のシナリオで使用される可能性があります。
- 以前の説明:glide スクリプティングサンドボックス内のメッセージングは、ログ記録のために使用されます。このサニタイズされていないエラー関数を呼び出すと、プラットフォームは反射型 XSS 攻撃にさらされます。XSS 攻撃では、誰かのセッション Cookie を盗み取ることで、特権のエスカレーションを容易にすることができます。glide.sandbox.usersession.allow_unsanitized_messages が推奨値の false に設定されていない場合、サニタイズされていないエラーメッセージ関数 addErrorMessageNoSanitization と addInfoMessageNoSanitization をスクリプトで使用できます。
|
| サービス組織の作業指示管理クエリルールの有効化 |
- 新しい説明:true に設定すると、sn_query_rule テーブルのルール/フィルターを使用し、クエリビジネスルールと読み取り ACL を通じて、ログインユーザーに対するフィールドサービス管理 (FSM) 関連テーブルの読み取りアクセス (作業指示と作業指示タスク) が決定されます。false に設定されている場合、レコードはクエリルールに基づいてフィルタリングされません。クエリビジネスルールは、さらにセキュリティ検証を追加します。具体的には、このプロパティは、アサインされたテリトリーまたはテリトリーメンバーシップに基づいて、エージェント、認定者、およびディスパッチャーのレコードをフィルタリングします。レコードを読み取るときは、最小特権の原則に従うことがベストプラクティスです。このプロパティが true に設定されていない場合、フィールドサービス管理 (FSM) テーブルからのデータ漏洩のリスクが高まる可能性があります。
- 以前の説明:true に設定すると、sn_query_rule テーブルのルール/フィルターを使用し、クエリビジネスルールと読み取り ACL を通じて、ログインユーザーに対するフィールドサービス管理 (FSM) 関連テーブルの読み取りアクセス (作業指示と作業指示タスク) が決定されます。false に設定されている場合、レコードはクエリルールに基づいてフィルタリングされません。クエリビジネスルールは、さらにセキュリティ検証を追加します。具体的には、このプロパティは、アサインされたテリトリーまたはテリトリーメンバーシップに基づいて、エージェント、認定者、およびディスパッチャーのレコードをフィルタリングします。レコードを読み取るときは、最小特権の原則に従うことがベストプラクティスです。
|
| 外部ユーザー登録用の電子メールドメインを制限する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい説明:sn_ext_usr_reg.allowed_email_domains プロパティは、ServiceNow インスタンスへの自己登録が許可されるメールアドレスを定義します。形式は、domain1.com,domain2.com などの受け入れ可能なドメインのカンマ区切りリストで、ここでは example@domain2.com などのメールが受け入れられます。受け入れ可能なドメインのリストで sn_ext_usr_reg.allowed_email_domains が設定されていない場合、メールアドレスを持つすべてのユーザーがインスタンスにアカウントを登録できます。定義されていない場合、悪意のある攻撃者が、インスタンスへの認証されたアクセスを取得するために、望ましくないドメインのメールアドレスを使用して登録を実行する可能性があります。
- 以前の説明:sn_ext_usr_reg.allowed_email_domains プロパティは、ServiceNow インスタンスへの自己登録が許可されるメールアドレスを定義します。受け入れ可能なドメインのリストで sn_ext_usr_reg.allowed_email_domains が設定されていない場合、メールアドレスを持つすべてのユーザーがインスタンスにアカウントを登録できます。定義されていない場合、悪意のある攻撃者が、インスタンスへの認証されたアクセスを取得するために、望ましくないドメインのメールアドレスを使用して登録を実行する可能性があります。
|
| ドット連結フィールドにドメインセパレーションを適用する |
- 新しい説明:このプロパティは、ドット連結フィールドのドメインセパレーション機能を確実に適用するために、結合クエリにドメインセパレーション条件を指定するかどうかを制御します。ドメインセパレーションを使用しているインスタンスで glide.sys.domain.include_domain_condition_on_join が推奨値である true に設定されていない場合、特定のドメインと共有されない機密情報が公開される可能性があります。コンポーネントが安全でないクロスドメインクエリに依存している場合、インスタンスに中程度の機能的な影響を与える可能性があります。インスタンスは、有効にする前に準本番環境でテストする必要があります。
- 以前の説明:このプロパティは、ドット連結フィールドのドメインセパレーション機能を確実に適用するために、結合クエリにドメインセパレーション条件を指定するかどうかを制御します。ドメインセパレーションを使用しているインスタンスで glide.sys.domain.include_domain_condition_on_join が推奨値である true に設定されていない場合、特定のドメインと共有されない機密情報が公開される可能性があります。
|
| URL 許可リストチェックを強制する |
- 新しい修正:プロパティ glide.security.url.whitelist.strict_check が true に設定されているか、プロパティ glide.security.url.whitelist が値に設定されていることを確認します。
- 以前の修正:プロパティ glide.security.url.whitelist.strict_check が「true」に設定され、プロパティ glide.security.url.whitelist が値に設定されていることを確認します。
|
| SOAP 要求のゲストユーザーを設定する |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。 |
| バックグラウンドスクリプトへのアクセスを制限する |
- 新しい説明:このプロパティは、Script Background モジュールへのアクセスに必要なロールを保持します。glide.script_processor.admin が推奨されるデフォルト値の admin に設定されていない場合、低い特権ロールを持っているユーザーがインスタンスでバックグラウンドスクリプトを実行できます。これにより、ACL システムが完全にバイパスされ、テーブルへのフルアクセスが可能になります。
- 以前の説明:このプロパティは、Script Background モジュールへのアクセスに必要なロールを保持します。glide.script_processor.admin が推奨値の admin、security_admin、または maint に設定されていない場合、低い特権ロールを持っているユーザーがインスタンスでバックグラウンドスクリプトを実行できます。これにより、ACL システムが完全にバイパスされ、テーブルへのフルアクセスが可能になります。
- 新しい修正:プロパティ glide.script_processor.admin が admin に設定されていることを確認します。これがインスタンスでのデフォルト値です。
- 以前の修正:プロパティ glide.script_processor.admin が admin、security_admin、または maint ロールに設定されていることを確認します。
|
| 証明書チェーンとホスト名の検証 |
- 新しい説明:Glide プロパティ com.glide.communications.httpclient.verify_hostname が安全な値である true に設定されていない場合、ServiceNow インスタンスから開始された TLS 接続中にリモートホストによって提示されたホスト名と証明書チェーンは検証されません。これにより、TLS 接続のセキュリティが侵害され、2 者間の通信が傍受される中間者攻撃が行われる可能性があります。これにより、機密データが開示される可能性があります。
- 以前の説明:com.glide.communications.httpclient.verify_hostname が true に設定されていない場合、2 者間の通信が傍受される中間者攻撃が行われる可能性があります。このプロパティを安全でない値に設定すると、失効ステータスの確認によって証明書チェーン内のすべての証明書を評価する証明書検証プロセスが無効になります。害を及ぼす可能性のあるホスト名に http クライアントが接続しないようにするには、このプロパティを true に設定します。
|
| 無効なパスワードリセット試行に対するロックアウト時間を制御する |
- 新しい簡単な説明:Control Lockout Time for Invalid Password Reset Attempts
- 以前の簡単な説明:Minimize Reset Password Request Max Attempts Window Duration
- 新しい説明:password_reset.request.max_attempt_window プロパティは、password_reset.request.max_attempt property で設定された最大試行失敗回数を超えた場合に、ユーザーがパスワードのリセットまたは変更を待機する必要がある時間 (分数) を定義します。password_reset.request.max_attempt_window プロパティの時間が短いと、パスワードリセットの試行回数が増えるため、パスワードの総当たり攻撃が成功するリスクが高まります。デフォルトの 1440 分をお勧めします。
- 以前の説明:password_reset.request.max_attempt_window が 1440 以下の推奨値に設定されていない場合、誤った認証試行の最大回数に達してもアカウントがロックされないため、アカウントの総当たりを実行できる可能性があります。
- 新しい修正:プロパティ password_reset.request.max_attempt_window が 1440 以上に設定されていることを確認します。
- 以前の修正:プロパティ password_reset.request.max_attempt_window が 1440 以下に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました。
|
| GlideRecord スコープフェンシングの従来の動作を無効にする |
- 新しい簡単な説明:Disable GlideRecord Scope Fencing Legacy Behavior
- 以前の簡単な説明:Enable GlideRecord Scope Fencing Legacy Behavior
- 新しい修正:Glide プロパティ glide.record.legacy_cross_scope_access_policy_in_script を false に設定します。sys_properties テーブルに存在しない場合、デフォルト値は true です。
- 以前の修正:Glide プロパティ glide.record.legacy_cross_scope_access_policy_in_script を false に設定します。
|
| 無効なパスワードリセットの試行回数を制限する |
- 新しい簡単な説明:Limit Invalid Password Reset Attempts
- 以前の簡単な説明:Minimize Reset Password Request Max Attempt Allowance
|