• 설명
  • (기존) <공백>
  • (신규)

    "glide.jquery.legacy"를 권장 값인 "아니오"로 설정하지 않으면 사전 패치된 이전 JQuery 버전이 사용되므로 라이브러리에 패치되지 않은 취약점이 발생할 수 있습니다. false인 경우 JQuery 1.12.3 및 2.2.3 보안 패치를 통합합니다. 모든 조직이 패치되지 않은 AngularJS 버전에 의존하여 사용자 지정 구현을 실행하는 경우 시스템 속성은 페일세이프입니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 오래된 JQuery 라이브러리 버전에서 발견된 취약점에 대한 공격으로 인해 보안 위험이 발생할 수 있습니다.

규칙 스크립트가 업데이트되어 탐지 정확도가 향상되었습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "com.glide.snap.enable_scan"이 권장 값인 "예"로 설정되지 않은 경우 바이러스 백신 검사가 비활성화됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    사용자는 악성 파일을 다운로드하여 데스크톱 및 세션 손상으로 이어질 수 있습니다.

• 설명
  • (이전)

    "glide.guest.session_timeout" 시스템 속성을 사용하여 인증되지 않은 사용자에 대한 비활성 세션 시간 제한을 제어합니다. 인스턴스가 기본값인 30분을 초과하여 세션을 유지하는 기간을 연장하려면 이 속성의 값을 올립니다. 시간 제한 값을 지나치게 크게 설정하면 인스턴스가 유지하는 세션 수가 증가하고 사소한 가용성 문제가 발생할 수 없습니다.

  • (신규)

    glide.guest.session_timeout 시스템 속성을 사용하여 미인증 사용자에 대한 비활성 세션 시간 제한을 제어합니다. 기본적으로 이 속성의 값은 30분입니다. 메모리에 너무 많은 세션을 유지하는 데 따른 가용성 문제가 있는 경우 이 속성의 값을 5로 낮출 수 있습니다. 시간 제한 값이 크면 인스턴스가 유지하는 세션 수가 증가하고 사소한 가용성 문제가 발생할 수 있으므로 이 속성을 30보다 크게 설정하지 마십시오.

• 정정
  • (이전)

    Glide 속성 "glide.guest.session_timeout"이 기본값 30으로 설정되어 있는지 확인합니다. 드물게 인스턴스에서 가용성이 우려되는 경우 이 값을 5로 낮추는 것이 바람직할 수 있습니다.

  • (신규)

    Glide 속성 "glide.guest.session_timeout"이 기본값 30으로 구성되어 있는지 확인합니다. 드물지만 메모리에 너무 많은 세션을 유지하는 데 따른 가용성 문제가 있는 경우 이 속성의 값을 5로 낮출 수 있습니다.

• 보안 위험
  • (이전)

    제한 시간 값이 크면 인스턴스의 동시 세션 수가 증가하여 사소한 가용성 문제가 발생할 수 있습니다.

  • (신규)

    이 속성을 30 이상으로 설정하지 마십시오. 시간 제한 값이 크면 인스턴스가 유지하는 세션 수가 증가하고 사소한 가용성 문제가 발생할 수 있습니다.

• 기능적 영향
  • (이전)

    시간 제한 값이 작으면 세션이 너무 빨리 만료되므로 바람직하지 않은 사용자 경험이 발생할 수 있습니다.

  • (신규)

    시간 제한 값이 작으면 세션이 너무 빨리 만료되므로 바람직하지 않은 사용자 경험이 발생할 수 있습니다. 메모리에 너무 많은 세션을 유지하는 데 따른 가용성 문제가 있는 경우 이 속성의 값을 5로 낮출 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.databrokerrestapiprocessor"가 권장 값인 "예"로 설정되지 않은 경우 모든 인바운드 데이터 브로커 REST API 요청에 기본 인증이 필요하지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 인스턴스에서 미인증 정보 공개가 발생할 수 있습니다.

• 간단한 설명
  • (이전)

    이벤트 관리 할당 그룹 관리자 역할 구성

  • (신규)

    이벤트 관리 할당 그룹 관리자 역할 구성

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "evt_mgmt.connector_assignment_group_admin_roles"에는 커넥터 인스턴스의 할당 그룹 필드에 대한 관리자 액세스 권한이 있는 역할 이름을 나타내는 쉼표로 구분된 문자열이 포함되어 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 목록의 기본 역할을 변경하면 권한이 없는 사용자가 인스턴스의 이벤트 통합을 변경할 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    이 목록의 기본 역할을 변경하면 이전에 권한이 있는 사용자가 인스턴스의 이벤트 통합을 변경하지 못할 수 있습니다.

• 의존성 및 필수 조건
  • (기존) <공백>
  • (신규)

    애플리케이션 - 이벤트 관리

• 데이터 유형
  • (기존) <공백>
  • (신규)

    문자열

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    관리자,evt_mgmt_admin,sn_sow_srm.srm_admin

• 설명
  • (기존) <공백>
  • (신규)

    다음 속성은 게시된 보고서에 대한 report_view ACL 검사를 구현해야 합니다. "glide.report.report_view.check_published"가 권장 값인 "예"로 설정되지 않은 경우 게시된 보고서에 대한 report_view ACL 확인이 비활성화됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이렇게 하면 인증되지 않은 사용자에게 중요한 데이터가 유출될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    AjaxEvaluator 프로세서는 샌드박스에서 이러한 스크립트를 실행하지만 샌드박스의 활동 범위를 확장하거나 완전히 끌 수 있는 몇 가지 추가 속성이 있습니다. 최악의 경우 사용자가 관리자 권한으로 스크립트를 쉽게 실행할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "glide.script.allow.ajaxevaluate"가 권장 값인 "아니오"로 설정되지 않은 경우 시스템 API는 AJAX 호출을 통해 클라이언트 스크립트 실행에 취약할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.verification.delay"가 권장 값인 "1000" 이상으로 설정되지 않은 경우 암호 재설정 검증 코드가 무차별 대입 공격에 취약합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    밀리초 지연은 자동화 도구("봇")를 사용하여 악의적인 액터가 사용자 식별 또는 확인 세부 정보를 추측하려고 시도하는 기능을 제한합니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.authenticate.only.allow.active.user.login"이 "예"로 설정되지 않은 경우 비활성으로 표시된 sys_user 테이블의 사용자는 여전히 인스턴스에 로그인할 수 있습니다. 사용자가 더 이상 로그인 권한이 없는 경우(예: 회사에서 해고된 경우) 비활성으로 표시될 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    비활성 사용자는 인스턴스와 이전에 액세스할 수 있었던 모든 데이터에 계속 액세스할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    High Security 플러그인이 기본으로 활성화되면 900개 이상의 다른 구성이 생성되어 인스턴스의 보안 수준을 제어합니다. 이러한 구성을 사용하면 엄격한 접근 제어, 입력 확인 및 출력 인코딩을 사용할 수 있습니다. 관리자가 접근 제어를 변경하기 전에 명시적으로 "security_admin" 역할로 승격하도록 요구하여 사용자 기능을 접근 제어 관리 기능과 분리합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    인스턴스의 중요한 부분이 무단 액세스 또는 조작에 노출될 수 있습니다.

• 간단한 설명
  • (이전)

    동시 세션 제한 플러그인

  • (신규)

    동시 세션 제한 플러그인 활성화

• 설명
  • (기존) <공백>
  • (신규)

    동시 세션 제한 플러그인(com.glide.limit.concurrent.sessions)을 사용하면 관리자가 사용자/역할당 활성 세션 수를 제한할 수 있습니다. 세션 하이재킹 가능성을 줄이기 위해 이 플러그인을 활성화하고 구성하는 것이 좋습니다. 이 플러그인이 활성화되고 구성된 경우 하이재킹할 수 있는 오픈 세션 수에 제한이 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    활성 동시 세션 수가 많을수록 계정 침해에 대한 공격 노출 영역이 증가하여 무단 액세스를 탐지하고 디바이스와 위치 간에 세션 책임을 적용하기가 더 어려워져 보안 위험이 발생합니다.

• 플러그인 적용 가능성
  • (이전)

    동시 세션 제한 플러그인

  • (신규) <blank>

• 간단한 설명
  • (이전)

    비활성 세션을 사전 예방적으로 무효화

  • (신규)

    정의된 기간 후 사전 예방적으로 세션 무효화

• 설명
  • (기존) <공백>
  • (신규)

    glide.active.session.timeout.invalidate.session이 예로 설정되지 않은 경우 Tomcat 컨테이너가 세션을 무효화하기 전에 시간 초과 세션이 사전에 무효화되지 않는 짧은 시간 간격이 있습니다. 이 시간 간격의 기간은 다양한 사용 사례를 나타내는 추가 속성에 따라 달라집니다. glide.ui.active.session.life_span: 이 속성의 값은 UI 세션이 무효화되기 전까지의 시간(분)을 정의합니다. glide.guest.active.session.life_span: 이 속성의 값은 게스트 세션이 무효화되기 전까지의 시간(분)을 정의합니다. glide.integrations.active.session.life_span: 이 속성의 값은 통합 세션이 무효화되기 전까지의 시간(분)을 정의합니다.

• 정정
  • (이전)

    Glide 속성 "glide.active.session.timeout.invalidate.session"이 존재하고 "예" 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.

  • (신규)

    "glide.active.session.timeout.invalidate.session" 속성이 예로 설정되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    세션이 하이재킹되면 공격자는 이 짧은 기간 동안 세션을 사용할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Zero Trust - Policy Based Session Access 플러그인을 사용하면 보안 관리자가 적응형 인증 정책을 사용하여 IP, 위치, ID 제공자 속성 및 사용자 속성을 기반으로 세션에서 사용자 액세스를 줄일 수 있습니다. 이 속성이 활성화되면("예"로 설정) 모바일 장치를 통해 로그인하는 사용자는 플러그인 정책에서 구성한 대로 역할이 제한됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    인스턴스 관리자는 사용자가 모바일 장치를 통해 로그인할 때 높은 권한의 액세스를 제한할 수 있으며, 이는 민감한 작업에 안전하지 않은 환경을 나타낼 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "예"로 설정하면 sn_query_rule 테이블의 규칙/필터는 쿼리 비즈니스 규칙과 읽기 ACL을 통해 로그인한 사용자에게 현장 서비스 관리 관련 테이블(작업 주문 및 작업 주문 작업)에 대한 읽기 권한을 결정하는 데 사용됩니다. "아니오"인 경우 쿼리 규칙에 따라 기록이 필터링되지 않습니다. 비즈니스 쿼리

    규칙은 추가 보안 확인을 추가합니다. 특히 이 속성은 할당된 영역 또는 영역 구성원 자격을 기준으로 에이전트, 한정자 및 디스패처에 대한 기록을 필터링합니다. 기록을 읽을 때는 최소 권한의 원칙을 따르는 것이 가장 좋습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    현장 서비스 관리 테이블에서 데이터 노출 위험이 증가할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.db.loguser"가 권장 값인 "아니오"로 설정되지 않은 경우 최종 사용자에게 중요한 서버 측 오류 메시지가 표시될 수 있습니다. 오류 메시지에는 스택 추적 및 데이터베이스 구조에 대한 정보가 포함될 수 있으며, 이는 전제 조건이 있는 경우 공격자에게 성공적인 SQL 삽입을 수행하는 데 필요한 지식을 제공할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    메시지에는 스택 추적 및 데이터베이스 구조 세부 정보가 포함될 수 있으며, 다른 취약점이 있는 경우 공격자는 이를 활용하여 표적 SQL 주입 공격을 만들 수 있습니다. 내부 오류 정보를 노출하면 악용 위험이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    com.glide.soap.guest_user glide 속성을 사용하여 인증되지 않은 SOAP 요청의 접근 수준을 제어합니다. 이 속성이 soap.guest의 권장 값으로 설정되지 않았거나 제한된 권한이 있는 사용자로 설정된 경우 SOAP 요청은 이 사용자를 대신하여 실행됩니다.

• 정정
  • (이전)

    "com.glide.soap.guest_user" 속성이 "soap.guest"로 설정되어 있는지 확인합니다.

  • (신규)

    인증되지 않은 SOAP 요청에 대해 적절한 수준의 액세스를 보장하려면 속성을 soap.guest로 설정해야 합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    인증되지 않은 SOAP 요청은 제대로 제한되지 않으면 무단 액세스를 허용할 수 있습니다. 최소 권한의 사용자에 대해 이러한 요청을 평가하면 중요한 작업이 노출될 위험을 줄이는 데 도움이 됩니다. 이 제어를 적용하지 않으면 액세스 권한이 상승하고 시스템 무결성이 손상될 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    SOAP 요청은 soap.guest 사용자의 권한으로 제한됩니다. 통합이 soap.guest에 대한 적절한 ACL이 없는 자원에 의존하는 경우 이러한 요청은 권한 거부로 이어집니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    문자열 sys_user 테이블에 있는 사용자의 사용자 ID(user_name)

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    soap.guest

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 MID 서버에서 사용할 수 있는 JMS(Java Messaging Service) 연결 팩토리를 제어합니다. JMS 활동 또는 작업을 위한 플러그인에 필요한 몇 가지 선별된 공장을 대상으로 합니다. 추가 팩토리를 포함하는 것은 공격자가 허용된 팩토리에서 활용할 수 있는 기능에 의존하는 JNDI 삽입과 같은 취약점에 대한 공격 체인의 단계가 될 수 있습니다. 레버리지 취약성의 가능성을 방지하려면 필요한 기본값을 초과하는 팩토리를 포함하지 마십시오.

• 보안 위험
  • (기존) <공백>
  • (신규)

    JMS(Java Messaging Service) 연결 팩토리 집합을 필요한 기본값 이상으로 확장하면 JNDI 주입과 같은 악용 기술에 대한 공격 표면이 증가하므로 상당한 위험이 발생합니다. 추가 팩토리를 허용하면 공격자가 메시징 구성 요소의 안전하지 않은 구성이나 취약성을 광범위한 공격 체인의 일부로 활용하여 원격 코드 실행 또는 시스템 손상으로 이어질 수 있습니다. 공장을 핵심 기능에 필요한 공장으로만 제한하는 것은 보안 태세를 유지하는 데 필수적입니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.sg.blur_ui_when_backgrounded"이 권장 값인 "예"로 설정되지 않은 경우 앱이 백그라운드가 되면 앱 스위처에서 볼 때 모바일 앱의 UI가 표시됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    모바일 배경 스크린샷을 흐리게 처리하면 배경에 있을 때 이 보기를 흐리게 하여 로컬 장치에서 더 높은 수준의 기밀성과 개인 정보 보호를 제공합니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.sg.device_encryption_enabled"이 예로 설정되면 ServiceNow 모바일 앱은 장치 암호화 및 장치 암호가 활성화되어 있는지 확인합니다. 암호화 또는 암호가 활성화되지 않은 경우 사용자는 모바일에서 인스턴스에 로그인할 수 없습니다. 이 속성은 FIPS 140-2 암호화를 적용합니다. 모바일 장치 암호화 및 암호는 장치를 물리적으로 가져온 경우에도 권한이 없는 사용자가 장치의 콘텐츠에 액세스할 수 없도록 하는 중요한 보안 기능입니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 모바일 앱을 통해 저장되거나 액세스된 민감한 데이터가 분실, 도난 또는 손상될 경우 노출될 수 있는 위험이 발생합니다. 암호화 및 암호가 적용되지 않으면 권한이 없는 사용자가 기밀 정보에 물리적으로 액세스하여 FIPS 140-2 준수를 훼손하고 전반적인 데이터 보호를 약화시킬 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "com.glide.security.protected_table.enabled"가 "예"로 설정되면 인스턴스에서 더 높은 권한이 있는 사용자가 로그 테이블을 변조하지 못하도록 Protected Tables 플러그인이 사용됩니다. 다음 로깅 테이블은 이 속성이 "예"로 설정된 경우 특별한 보호를 받습니다. syslog(구성을 수정할 수 없음) syslog_transaction sys_outbound_http_log sysevent sys_audit sys_push_notification protected_table_configuration(구성을 수정할 수 없음) syslog_app_scope

• 보안 위험
  • (기존) <공백>
  • (신규)

    악의적인 활동을 검색할 수 있도록 로그 무결성을 유지해야 합니다.

• 설명
  • (기존) <공백>
  • (신규)

    속성 "glide.report.report_view.read_acl"을 "적용"으로 설정할 경우 테이블/필드에 보고서 뷰 ACL이 없는 경우 보고 기능에 대한 읽기 ACL(테이블 수준)을 적용합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    ACL을 바이패스하여 잠재적인 중요한 정보 공개로 이어질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "gs.addErrorMessageNoSanitizationMessaging()" 및 "gs.addInfoMessageNoSanitization()" 메서드는 스크립팅 환경 내에서 로깅 및 알림을 위해 사용됩니다. 이 속성이 권장 값인 "아니오"로 설정되지 않은 경우 샌드박스에서 이 두 가지 모두를 사용할 수 있습니다. 샌드박스는 인증되지 않고 역할이 없는 사용자가 사용할 수 있는 낮은 권한의 스크립팅 환경입니다. 이 두 메서드 모두 사용자에게 삭제되지 않은 입력을 표시하는 데 사용할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    삭제되지 않은 입력에는 사용자의 브라우저에서 실행되는 위험한 코드가 포함될 수 있으므로 사용자에게 삭제되지 않은 입력을 표시하는 것은 위험합니다. 이는 기존의 반사형 XSS 공격에 활용될 수 있습니다. 반사된 XSS 공격은 세션 하이재킹을 포함하여 여러 시나리오에서 사용될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 "password_reset.sms.use_notify"는 등록 및 검증을 위한 사용량 SMS 코드 알림을 제어합니다. "password_reset.sms.use_notify"가 권장 값인 "예"로 설정된 경우 SMS 검증 방법과 새 장치 등록을 위한 암호 재설정에 대해 사용자에게 알림이 전송됩니다. 사용

    등록 및 검증을 위한 SMS 코드 알림은 기본 이메일 알림보다 더 안전합니다.

• 정정
  • (이전)

    "password_reset.sms.expiry" 속성이 "예"로 설정되어 있는지 확인합니다.

  • (신규)

    "password_reset.sms.use_notify" 속성이 "예"로 설정되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이메일 기반 알림은 계정 도용 및 피싱 공격에 더 취약하기 때문에 일반적으로 보안이 떨어집니다. 검증에 SMS를 사용하면 사용자 ID를 강화할 수 있으며 무단 암호 재설정 또는 사기성 장치 등록의 위험을 줄일 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    ServiceNow에서 제공하는 데모 인증서는 프로덕션 SAML 구성에 사용하면 안 됩니다. 인증서는 알려진 암호가 있는 모든 인스턴스에서 일반적입니다. 인증서 키 스토어를 사용하는 SAML 속성 중 하나가 활성(require_signed_authnrequest, require_signed_logoutrequest 또는 encrypt_assertion)인 경우 데모 데이터를 사용하면 안 됩니다. 데모 데이터는 모든 인스턴스 간에 공유되므로 공유 인증서로 서명된 요청의 무결성이 없습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    IDP에 의해 암호화된 메시지는 가로채면 모든 행위자에 의해 해독될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    속성 "glide.authenticate.multifactor.email.otp.enabled"는 두 번째 인증 요소에 대한 토큰을 이메일을 통해 보낼 수 있는지 여부를 제어합니다. 이메일은 공격자가 MFA를 무효화하기 위해 액세스할 가능성이 더 높은 취약한 MFA 요소로 간주됩니다. 속성이 아니오인 경우: 1. MFA 확인 화면에 이메일 OTP 옵션이 표시되지 않습니다. 속성이 예인 경우:

    2. 이메일 요소 정책이 비활성 상태이고 다른 2FA가 등록되지 않은 경우 이메일 요소가 표시됩니다. 3. 이메일 요소 정책이 활성 상태이고 예로 평가되면 이메일 요소가 표시됩니다. 4. 이메일 요소 정책이 활성 상태이고 아니오로 평가되면 이메일 요소가 표시되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    공격자는 사용자의 암호가 있는 경우 MFA를 성공적으로 우회할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    UserCookie v3는 속성 glide.ui.secure.cookies.use_kmf가 비활성화된 경우에만 생성됩니다. UserCookie v3는 HMAC에 대한 비밀 키를 소스 코드에 저장하고 모든 고객에게 동일하기 때문에 안전하지 않습니다. 속성 "glide.ui.secure.cookies.use_kmf"을 "예"로 설정하면 UserCookie v3.1이 사용되며 비밀 키가 KMF와 같은 보안 스토리지에 저장됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 키를 획득하거나 리버스 엔지니어링한 공격자가 인증 쿠키를 위조하고 사용자를 가장할 수 있으므로 세션 하이재킹의 상당한 위험이 발생합니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성을 사용하면 고객이 특히 중첩된 Jelly 표현식에 대한 보간 보호를 켜거나 끌 수 있습니다. 보간 보호는 JavaScript에서 Jelly 표현식을 사용할 때 특정 범주에 속하거나 표현식 자체에서 SAFE로 표시되어 안전한 것으로 간주되어야 합니다. 이 속성은 다른 Jelly 표현식에 중첩된 위험한 Jelly 표현식으로부터 보호하기 위해 추가되었습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    보호되지 않은 보간된 Jelly 표현식으로 인해 악의적인 액터가 조작된 GET 매개변수를 Jelly 페이지로 보내고 해당 매개변수의 내용이 관리자 권한이 있는 서버 측 JavaScript로 평가될 수 있습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    부울

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    예

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 사용자 인터페이스의 파서 수준에서 XML 값을 이스케이프합니다. 이를 통해 리플렉션되고 저장된 교차 사이트 스크립팅 공격을 방지합니다. 이 속성은 서비스 포털에 적용할 수 없습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "glide.ui.escape_text"이 권장 값인 "예"로 설정되지 않으면 사용자 인터페이스의 파서 수준에서 XML 값이 이스케이프되지 않습니다. 이렇게 하면 Jelly 템플릿이 반영되고 저장된 교차 사이트 스크립팅 공격에 취약해집니다.

• 설명
  • (기존) <공백>
  • (신규)

    GlideRecord는 해당 액세스 수준으로 구성되지 않은 테이블에 대한 교차 범위 생성/업데이트 권한을 제공했습니다. 범위가 지정된 접근 동작에 패치가 적용되었을 때 고객이 애플리케이션이 손상되지 않도록 하기 위해 속성 glide.record.legacy_cross_scope_access_policy_in_script이 작성되었습니다. "예"인 경우 교차 범위 액세스는 레거시 동작(안전하지 않음)으로 대체됩니다. 이 속성은 범위 펜싱을 사용하지 않도록 설정하여 범위가 지정된 앱에서 전역 스크립트 인터페이스에 액세스할 수 있도록 합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    범위 펜싱 제한을 적용하는 것이 가장 좋습니다. 범위를 지정하면 애플리케이션은 최소 권한 원칙에 따라 명시적 액세스 권한 또는 범위 내에서만 자원에 액세스할 수 있습니다. 이 기능을 사용하지 않도록 설정하면 기밀성, 가용성 및 무결성에 영향을 미칠 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 로그인 페이지에서 사용자 기억 확인란을 제어하여 예로 설정할 때 로그인 정보가 캐시되지 않도록 합니다. 값을 false로 설정하면 인증 정보의 캐싱이 허용되고 "메일 주소 저장" 확인란이 표시됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    캐시된 자격 증명을 통해 공격자가 인증을 우회할 수 있으므로 장치가 공유, 분실 또는 손상된 경우 무단 액세스 위험이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 원하는 전송 암호화 프로토콜을 제어합니다. "glide.glide.outbound.sslv3.disabled"가 권장 값인 "예"로 설정되지 않은 경우 REST 및 SOAP 요청과 같은 아웃바운드 MID 서버 연결은 SSL을 전송 프로토콜로 사용합니다. SSL은 2014년에 안전하지 않은 것으로 입증되었습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    SSLv3는 POODLE 같은 취약점으로 인해 2014년부터 안전하지 않은 것으로 입증되어 중간자 공격 및 데이터 가로채기에 취약합니다. SSLv3를 허용하면 전송 암호화가 훼손되고 전송 중인 민감한 데이터가 노출되어 최신 보안 표준을 위반합니다.

• 설명
  • (기존) <공백>
  • (신규)

    관리자는 수신 이메일에서 사용자를 자동으로 생성하도록 이메일 속성을 설정할 수 있습니다. 이 속성을 안전하지 않은 값으로 설정하면 인스턴스가 수신 이메일에서 사용자를 자동으로 생성합니다. 생성된 각 사용자는 동일한 하드코딩된 기본 암호를 가지므로 무차별 암호 대입을 통한 인증 우회가 더 쉬워집니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    강력한 암호 제어 없이 자동 사용자 생성을 허용하면 인증 보안이 약화되고 시스템 손상 가능성이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 단일 이메일 알림에 대해 인스턴스가 To: 라인에 나열할 수 있는 최대 수신자 수를 지정합니다. 이 한도를 초과하는 알림은 대신 수신자 목록의 하위 집합에 주소가 지정된 중복 이메일 알림을 작성합니다. 각 이메일 알림의 최대 수신자 수는 동일합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 자원이 고갈되고 이메일 하위 시스템 또는 인스턴스 자체에 DoS(서비스 거부) 조건이 발생할 수 있습니다. 수신자 수를 제한하는 것은 남용을 방지하고 시스템 성능과 가용성을 유지하는 데 필수적입니다.

• 설명
  • (기존) <공백>
  • (신규)

    glide.enable.password_policy 속성을 사용하여 암호 변경 양식에 대한 암호 강도 확인 규칙을 사용자 지정합니다. 조직의 보안 정책에 맞게 길이와 복잡성 값을 사용자 지정합니다. "glide.enable.password_policy"이 권장 값인 "예"로 설정되지 않으면 암호 표준이 적용되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    암호 복잡성을 적용하는 것은 강력한 인증을 유지하고 계정 탈취에 대한 노출을 줄이는 데 매우 중요합니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.sg.clear_pasteboard_when_backgrounded" 속성은 앱이 백그라운드 모드가 되면 ServiceNow 모바일 앱에서 복사한 텍스트가 클립보드 및 붙여넣기 보드에 보관되는지 여부를 제어합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 클립보드 데이터가 장치의 다른 애플리케이션에서 액세스되어 자격 증명, PII 또는 기밀 비즈니스 데이터가 노출될 수 있으므로 민감한 정보 공개 위험이 발생합니다. 이 속성을 적용하면 앱 전체에서 의도하지 않은 데이터 유출을 방지할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 CMDB 모델에 대한 추가 접근 제어입니다. "csm_cmdb_model.customer_visible_flag"가 권장 값인 "예"로 설정되지 않은 경우 역할이 sn_esm_user 있고 바로 사용 가능한 ACL을 가진 모든 사용자에게 CMDB 모델에 대한 권한이 있습니다. 이 역할은 외부 사용자에게 부여되는 경향이 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    외부 사용자에게 CMDB 모델에 대한 권한을 마지못해 부여할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.ui.security.codetag.allow_script"이 권장 값인 "아니오"로 설정되지 않은 경우 이 속성을 사용하면 저널 필드와 양식에서 렌더링된 HTML을 사용하여 XSS 공격을 위한 공간을 열 수 있습니다. 악성 HTML은 코드 태그 사이에 배치해야 합니다(예: [code][/code]).

• 보안 위험
  • (기존) <공백>
  • (신규)

    제어되지 않은 JavaScript는 XSS(교차 사이트 스크립팅) 공격의 위험을 감수하여 악의적인 행위자가 사용자의 브라우저에 유해한 스크립트를 삽입하고 실행할 수 있도록 합니다. 그런

    공격은 세션 하이재킹, 자격 증명 도난 및 민감한 데이터 손상으로 이어질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.security.diag_txns_acl"이 권장 값인 "예"로 설정되지 않은 경우 모든 사용자(인증 여부)는 stats.do, xmlstats.do, threads.do 및 replication.do 페이지와 같은 진단 페이지에 액세스할 수 있습니다. 이러한 엔드포인트는 인스턴스 상태를 모니터링하는 데 사용됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    성능 모니터링 엔드포인트에서 노출되는 정보는 공격자에게 유용할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.service_portal.widget.table_allow_list"에는 SNCACLWidgetUtil 스크립트 포함에 제공된 추가 보안 검사를 사용하는 서비스 포털 위젯을 통해 인증되지 않은 사용자가 액세스할 수 있는 테이블 목록이 포함되어 있습니다. 이 속성은 Glide 속성 "glide.service_portal.widget.enforce_public_check"이 "예"인 경우에만 적용됩니다. 이 속성에 불필요한 테이블이 나열된 경우 인증되지 않은 정보 유출이 있을 수 있습니다. 테이블 ACL은 여전히 이전과 같이 평가됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    미인증 사용자는 서비스 포털 위젯을 통해 민감한 데이터에 액세스할 수 있으며, 이로 인해 기존 테이블 ACL에도 불구하고 잠재적으로 정보 공개로 이어질 수 있습니다.

• 폴백 값
  • (기존) <공백>
  • (신규)

    ''

• 설명
  • (기존) <공백>
  • (신규)

    ACL은 누적 평가됩니다. 지정된 필드에 여러 ACL이 있고 관리자 재정의 옵션이 그 중 하나에서 아니오(선택되지 않음)인 경우 모든 ACL에 대한 유효한 관리자 재정의는 아니오로 간주됩니다. 이렇게 하면 관리자가 재정의가 적용되어야 하는 ACL도 전달할 수 없습니다. "glide.security.admin.override.accessterm"이 권장 값인 "예"로 설정되지 않은 경우 ACL 규칙에 따른 ACL 용어 중 하나가 "관리자 재정의" 아니오인 경우에도 전체 규칙은 아니오로 평가됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "관리자 재정의" 설정이 상충하는 ACL은 누적 아니오로 평가될 수 있으며, 이로 인해 관리자가 접근해야 하는 필드에 접근하지 못하고 실수로 중요한 데이터에 대한 접근이 거부될 수 있습니다.

간단한 설명

• (이전)

  allowlistDisable 엔터티 확장으로 XMLdoc2 엔터티 확인 필요

• (신규)

  허용 목록으로 XMLdoc2 엔터티 확인 필요

• 설명
  • (기존) <공백>
  • (신규)

    "glide.oauth.state.paramater.required system" 속성을 사용하면 인증 코드 플로우에 대한 OAuth 요청에서 "상태" 매개변수가 필요할 수 있습니다. Madrid 릴리스부터 시스템 속성 "glide.oauth.state.parameter.required"는 OAuth 요청에 대한 "상태" 매개변수를 추가합니다. zbooted 인스턴스의 경우 속성이 true입니다. 업그레이드된 인스턴스의 경우 속성이 없으므로 "상태" 매개변수를 사용할 수 없습니다. "상태" 매개변수는 문자열 값이며 특수 문자를 포함해서는 안 됩니다. State 매개변수는 비워 두거나 " "일 수 없습니다. "상태" 매개변수를 "예"로 설정하지 않으면 인증 중에 공격자가 CSRF 공격을 수행할 수 없으므로 공격자가 피해자로서 작업을 수행할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    OAuth 인증 코드 플로우에서 glide.oauth.state.parameter.required 속성을 활성화하지 않으면 CSRF(교차 사이트 요청 위조) 공격의 위험이 높아져 공격자가 사용자를 가장하고 무단 작업을 수행할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "sn_kb_social_qa.max_comments_per_user_daily"가 권장 값인 "500" 이하로 설정되지 않은 경우 하루에 QA 의견 수에 제한이 없습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    코멘트가 너무 많으면 자원이 고갈될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.cs.debug"가 권장 값인 "아니오"로 설정되지 않은 경우 채팅 서버 메시지 로깅이 활성화됩니다. 속성 값을 예로 설정하면 시스템 로그에 채팅 서버 메시지를 로깅할 수 있습니다. 많은 로그 메시지가 생성되기 때문에 채팅 서버 문제를 해결할 때만 활성화하는 것이 좋습니다. 문제 해결 후에는 시스템 로그가 막히지 않도록 속성을 사용하지 않도록 설정해야 합니다. 속성을 기본값이기도 한 false로 설정하면 시스템 로그에 채팅 서버 메시지가 기록되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 시스템 로그를 통해 의도하지 않은 민감한 정보가 유출될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.service_portal.widget.allow_list"는 인스턴스의 모든 테이블에 접근할 수 있는 위젯 목록을 결정합니다. 이러한 테이블에 대한 ACL은 여전히 적용됩니다. 인스턴스의 테이블에 잘못 구성된 빈 ACL이 있는 경우 이 목록의 위젯이 해당 테이블에 대한 액세스를 허용하여 정보 유출로 이어질 수 있습니다. 이 속성은 위젯이 SNCACLWidgetUtil을 사용하고 Glide 속성 "glide.service_portal.widget.enforce_public_check"이 "예"로 설정된 경우에만 적용됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    미인증 사용자는 서비스 포털 위젯을 통해 민감한 테이블 데이터에 의도하지 않은 액세스 권한을 얻어 잠재적 정보 공개를 초래할 수 있습니다.

• 폴백 값
  • (기존) <공백>
  • (신규)

    ''

• 설명
  • (기존) <공백>
  • (신규)

    "sn_ext_usr_reg.Reg_link_expiration_days"가 권장 값인 "3"으로 설정되지 않았으므로 나중에 링크가 검색되면 의도한 사용자 이외의 사람이 등록 링크를 사용할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    만료 기간이 길어지면 계정 프로비저닝 보안이 약화되고 무단 계정 생성 또는 가장의 기회가 생성됩니다.

설명

• (이전)

  두 속성 glide.outbound_http_log.override 및 glide.outbound_http_log.override.level

  함께 작업하여 아웃바운드 HTTP 요청에 대한 로깅 수준을 제어합니다. glide.outbound_http_log.override가 "예"로 설정되면 요청에 대한 로그 수준과

  응답은 glide.outbound_http_log.override.level에 의해 제어됩니다. 재정의 수준이 "모두" 또는 "상승함"으로 설정된 경우 요청 및 응답 헤더가 로깅됩니다.

• (신규)

  glide.outbound_http_log.override 및 glide.outbound_http_log.override.level의 두 속성이 함께 작동하여 아웃바운드 HTTP 요청에 대한 로깅 수준을 제어합니다. glide.outbound_http_log.override가 "true"로 설정되면 요청 및 응답에 대한 로그 수준이 glide.outbound_http_log.override.level에 의해 제어됩니다. 재정의 수준이 "모두" 또는 "상승함"으로 설정된 경우 요청 및 응답 헤더가 로깅됩니다.

• 설명
  • (기존) <공백>
  • (신규)

    "sn_ext_usr_reg.captchaEnabled"가 권장 값인 "예"로 설정되지 않은 경우 CAPTCHA는 외부 사용자 등록에 대한 유효성을 검사하지 않으며 자동 계정 작성 공격으로 이어질 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    CAPTCHA를 적용하는 것은 봇 기반 공격을 방지하고 사용자 온보딩의 무결성을 유지하는 데 매우 중요합니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 닷워킹 필드에 도메인 분리 기능을 적용하기 위해 조인 쿼리에 도메인 분리 조건이 부여되는지 여부를 제어합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    특정 도메인과 공유할 수 없는 중요한 정보가 공개될 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    구성요소가 안전하지 않은 교차 도메인 쿼리에 의존하는 경우 인스턴스에 보통 정도의 기능적 영향이 있을 수 있습니다. 인스턴스는 활성화하기 전에 비프로덕션 환경에서 테스트해야 합니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.report.published_reports.enabled"가 권장 값인 "아니오"로 설정되지 않은 경우 인스턴스에 저장된 보고서를 인증 없이 표시할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    중요한 데이터에 대한 인증되지 않은 액세스를 허용하면 악의적인 행위자가 부주의한 정보를 공개할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.jsonv2"가 권장 값인 "예"로 설정되지 않은 경우 JSONv2 형식 익스포트 프로세서에 대한 기본 인증이 비활성화됩니다. 이는 guest_user 관련 속성 내에서 잘못된 역할과 결합할 때도 발생합니다(예: 관리자와 같은 높은 권한 있는 사용자).

• 보안 위험
  • (기존) <공백>
  • (신규)

    JSON 익스포트 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합될 경우 무단 데이터 노출의 상당한 위험이 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.xmloutputprocessor"가 권장 값인 "예"로 설정되지 않은 경우 모든 인바운드 XMLOutputProcessor 요청에 기본 인증이 필요하지 않습니다. 이로 인해 인스턴스에서 미인증 정보 공개가 발생할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    XML 익스포트 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합되면 무단 데이터 노출의 상당한 위험이 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.sms.expiry" 속성은 SMS 코드가 만료되기 전까지의 시간(분)을 나타냅니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    값이 너무 높으면 공격자가 SMS 코드를 추측하여 암호를 재설정할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    포함된 가상 에이전트용 웹 클라이언트인 UI 페이지 sn_va_web_client_app_embed에는 바로 사용 가능 sys_public 테이블에 '예'로 표시된 ACL이 포함되어 있습니다. 공용 접근성이 필요한 사용 사례가 있는 것으로 확인되었지만 이는 기본적으로 공개 액세스할 수 있도록 설정하는 보안 베스트 프랙티스는 아닙니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    중요한 정보가 미인증 사용자에게 노출될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.sms.pause_window"가 권장 값인 "2분 이상"으로 설정되지 않은 경우 악의적인 사용자가 짧은 시간 내에 많은 암호 재설정 SMS 코드를 시작할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이렇게 하면 공격자가 SMS 재설정 코드를 예측할 가능성이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.request.retry_window" 속성은 암호 재설정 시도 횟수가 새로 고침되기 전의 시간을 지정합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    값이 너무 낮으면 암호 재설정 프로세스 공격에 대한 무차별 대입이 훨씬 더 빨라집니다.

• 설명
  • (기존) <공백>
  • (신규)

    속성은 적절한 권한을 가진 사용자만 양식을 업데이트할 수 있도록 하여 양식 제출/필드 업데이트에 대한 추가 보안 계층을 제공합니다. "glide.security.strict.updates"가 권장 값인 "예"로 설정되지 않은 경우 업데이트는 엄격한 의미가 아니므로 적절한 권한이 있는지 여부에 관계없이 볼 수 있는 필드를 수정할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    사용자는 실제 권한에 관계없이 양식 필드를 확인하는 것만으로 양식 필드를 업데이트할 수 있으며, 이로 인해 무단 데이터 수정 및 권한 상승의 위험이 발생할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.request.expiry"가 권장 값인 "10" 이하로 설정되지 않은 경우 다른 사람이 요청을 추측하여 사용하고 암호 재설정을 시도할 수 있는 기회가 증가합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    짧은 만료 기간은 무단 암호 재설정 가능성을 줄이고 계정 보안을 유지하는 데 매우 중요합니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.request.max_attempt" 속성은 사용자가 암호 재설정 프로세스에서 잠기기 전에 수행할 수 있는 최대 암호 재설정 시도 실패 횟수를 나타냅니다. 잠금 기간은 "password_reset.request.max_attempt_window"의 값에 따라 결정됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    값이 너무 높으면 암호 재설정 프로세스에 대해 무차별 대입 공격을 수행할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.captcha.ignore"가 권장 값인 "아니오"로 설정되지 않은 경우 암호 재설정 프로세스 중에 CAPTCHA 과제 응답이 사용되지 않습니다. CAPTCHA는 자동화 시스템에서 쉽게 응답할 수 없는 과제 대응을 사용자에게 요청하여 자동화 공격을 방지하는 데 도움이 됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    CAPTCHA를 사용하지 않도록 설정하면 암호 재설정 기능에 대한 자동 공격 중에 공격자가 더 성공할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.update_set.remote.check_host"가 권장 값인 "예"로 설정되지 않은 경우 팀 개발 원격 인스턴스 테스트 기능은 양수/음의 오류 메시지를 제공하여 내부 네트워크 포트 검사를 허용합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    공격자는 지정된 호스트의 모든 열린 포트를 열거하거나 응답 데이터를 끌어와 정보 유출 또는 무단 데이터 액세스를 초래할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.ui.rotate_sessions"이 권장 값인 "예"로 설정되지 않은 경우 세션의 식별 정보가 유지되며 애플리케이션 간에 회전되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이는 공격자가 세션 식별자를 재사용하여 무단 액세스를 얻을 수 있으므로 세션 하이재킹의 위험을 증가시킵니다.

• 설명
  • (기존) <공백>
  • (신규)

    "com.glide.cs.embed.xframe_options"가 권장 값인 "DENY" 또는 "SAMEORIGIN"으로 설정되지 않은 경우 웹 애플리케이션의 콘텐츠는 ALLOW-FROM URI를 사용하여 타사 사이트에 포함될 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    신뢰할 수 없는 타사 사이트를 허용하면 클릭재킹과 같은 공격이 발생할 수 있습니다.

• 폴백 값
  • (기존) <공백>
  • (신규)

    ''

• 설명
  • (기존) <공백>
  • (신규)

    "glide.installation.production"이 권장 값인 "예"로 설정되지 않은 경우 인스턴스는 프로덕션 인스턴스로 처리되지 않으므로 zboot 및 기타 잠재적으로 위험한 스크립트가 허용됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    프로덕션 인스턴스를 비프로덕션으로 평가하도록 허용하면 정보 공개 또는 서비스 거부로 이어질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.cms.dashboards.sharing_with_secure_search"이 "예"로 설정되지 않은 경우 사용자는 개인적으로 액세스할 수 없는 그룹 및 역할에 대시보드를 공유할 수 있습니다. 이 속성은 대시보드를 공유할 때 sys_user, sys_user_role 및 sys_user_group 테이블 검색에 ACL을 적용합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    대시보드를 과도하게 공유하면 사용자가 대시보드에 액세스해서는 안 되는 사용자, 그룹 또는 역할과 대시보드를 공유하는 경우 기밀성에 약간의 영향을 미칠 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    다음 속성은 보안 헤더 X-Frame-Options: SAMEORIGIN의 구현을 제어합니다. "glide.set_x_frame_options"이 권장 값인 "예"로 설정되지 않은 경우 인스턴스를 다른 페이지의 iframe에 프레임화할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이는 클릭재킹 공격으로 이어질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.cookies.http_only"이 권장 값인 "예"로 설정되지 않은 경우 인스턴스는 중요한 쿠키에 대해 HTTPOnly 속성을 필요로 하지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    HTTPOnly 속성은 JavaScript와 같은 클라이언트 측 스크립트를 사용하여 쿠키에 대한 액세스를 허용하지 않기 때문에 사이트 간 스크립팅과 같은 공격을 방지하는 데 사용됩니다.

• 간단한 설명
  • (이전)

    빈 ACL 생성 방지

  • (신규)

    빈 ACL 생성 방지

• 설명
  • (기존) <공백>
  • (신규)

    glide.security.empty_acl.popup_window.enabled 속성은 사용자가 ACL 기록(sys_security_acl)을 양식 기반으로 편집하는지 여부를 제어합니다.

    에서 잘못된 데이터 조건, 스크립트, 보안 속성 또는 역할 목록이 있거나 아무 것도 구성되지 않은 잘못된 ACL을 생성, 업데이트 또는 저장할 수 있습니다("빈 ACL"). Xanadu 릴리스부터 빈 ACL은 액세스를 완전히 거부합니다. Xanadu 이전 버전에서는 ACL을 비우면 무조건부 액세스가 허용됩니다. glide.security.empty_acl.popup_window.enabled 속성이 보안 값인 "예"로 설정되면 유효하지 않거나 비어 있는 ACL을 작성, 업데이트 또는 저장하려는 시도가 차단되고 클라이언트 측 모델이 제공되어 ACL에 대한 역할 또는 보안 속성을 구성합니다. 속성이 다른 값으로 안전하지 않게 설정된 경우 이러한 시도가 허용되고 클라이언트 측 모델이 표시되지 않습니다. 참고: 이 속성은 대/소문자를 구분합니다. "True"(대문자 "T") 값은 "false"와 같습니다. 또한 이 속성은 com.glide.high_security(High Security) 플러그인이 설치되어 있고 활성화된 경우에만 작동합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    잘못 구성되거나 비어 있는 ACL(접근 제어 목록)은 의도치 않게 중요한 데이터 및 시스템 기능에 대한 무제한 접근 권한을 부여할 수 있습니다. ACL에 적절한 조건, 역할 또는 보안 속성이 부족하면 권한 부여 경계를 적용하지 못하여 공격자 또는 권한이 없는 사용자가 보안 통제를 바이패스할 수 있습니다. 이로 인해 데이터 유출, 권한 상승, 플랫폼 전반의 기밀성, 무결성 및 가용성 손상이 발생할 수 있습니다.

• 폴백 값
  • (기존) <공백>
  • (신규)

    아니오

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.xml"이 권장 값인 "예"로 설정되지 않은 경우 XML 형식 익스포트 프로세서에 대한 기본 인증이 비활성화됩니다. 이는 guest_user 관련 속성 내에서 잘못된 역할과 결합할 때도 발생합니다(예: 관리자와 같은 높은 권한 있는 사용자). 이렇게 하면 인스턴스 데이터에 대한 미인증 액세스가 발생할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    XML 익스포트 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합되면 무단 데이터 노출의 상당한 위험이 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.soap.strict_security"이 권장 값인 "예"로 설정되지 않은 경우 높은 보안 또는 웹 서비스 플러그인이 설치된 경우 사용자는 비공개 페이지를 요청하기 위해 SOAP 역할이 필요하지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    권한이 없는 사용자는 대상 인스턴스의 중요한 컨텐츠/데이터에 액세스할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.ui.magellan.favorites.allow_public"이 권장 값인 "아니오"로 설정되지 않은 경우, 인증되지 않은 모든 사용자는 네비게이터에서 동일한 "게스트" 사용자의 즐겨찾기 항목에 액세스할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    미인증 사용자는 공유 "게스트" 사용자의 즐겨찾기에 액세스하고 잠재적으로 조작할 수 있으므로 무단 UI 사용자 지정, 데이터 노출 및 사용자 인터페이스 오용의 위험이 증가합니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 잠긴 사용자에 대한 인바운드 이메일 작업을 제어합니다. "glide.pop3.process_locked_out"이 "예"로 설정된 경우 잠긴 계정을 가진 사용자가 인바운드 이메일을 수신하므로 정보 공개가 있을 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    잠긴 사용자가 기록을 생성하거나 워크플로우를 트리거할 수 있는 인바운드 이메일을 계속 제출할 수 있으며, 이는 잠재적으로 무단 작업을 활성화하여 보안 위험을 초래할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    애플리케이션 관리 앱이 ACL(전역 접근 제어 목록) 규칙을 상속할 수 있는지 여부를 결정합니다. 기록 범위에 대해 정의된 범위가 지정된 관리자 애플리케이션 ACL이 없는 경우에 유용합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "glide.security.scoped_administration.honor_global_acl"이 권장 값인 "예"로 설정되지 않은 경우 애플리케이션에 대한 권한이 있는 낮은 권한의 사용자가 중요한 기록에 잠재적으로 액세스할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.authenticate.session_access.log_audit_event"를 "예"로 설정하면 sys_session_access_audit 테이블에 세션 감사 이벤트가 생성됩니다. 로그되는 정보에는 사용자, 세션 ID(중요하지 않음), IP 주소, 역할 및 정책이 포함됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    세션에 액세스한 사람에 대한 정보는 인시던트 조사를 지원하기 위해 기록되지 않습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 사용자 세션 시간 제한을 결정합니다. 이렇게 하면 사용자 세션이 활성 상태로 유지되는 시간이 결정됩니다. "glide.ui.session_timeout"이 권장 값인 "60분" 이하로 설정되지 않은 경우 활동 없이도 세션이 오랫동안 유효할 수 있습니다. 이로 인해 세션 하이재킹 공격을 활성화하기에는 너무 긴 기간이 제공될 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    세션 시간 제한이 길면 비활성 세션이 장기간 유효하게 유지되므로 공격자가 세션이 만료되기 전에 하이재킹할 가능성이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.sys.log_impersonation"이 권장 값인 "예"로 설정되지 않으면 사용자 사칭 이벤트가 더 이상 기록되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    ServiceNow의 자동화된 보안 탐지 및 보안 조사 역량의 효율성이 감소합니다.

• 폴백 값
  • (기존) <공백>
  • (신규)

    아니오

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 필드 할당을 위해 전역 수준에서 translated_html 필드의 정리 동작을 적용합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "com.glide.security.check_unsanitized_html"이 권장 값인 "강제 적용"으로 설정되지 않은 경우 공격자는 피해자의 브라우저에서 임의의 javascript를 실행할 수 있습니다(XSS 공격).

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

정정

• (이전)

  활성 세션 시간 제한에서 제외되어야 하는 역할에 glide.active.session.timeout.exception.roles 속성을 구성합니다. 이 속성 값은 쉼표로 구분된 역할 목록입니다. 기본값은 edge_encryption,mid_server,maint입니다.

• (신규)

  활성 세션 시간 제한에서 제외되어야 하는 역할에 glide.active.session.timeout.exception.roles 속성을 구성합니다. 이 속성 값은 쉼표로 구분된 역할 목록입니다. 기본값은 edge_encryption,mid_server,maint입니다.

• 기술 구성 이름
  • (이전)

    glide.integrations.active.session.life_span

  • (신규)

    glide.integrations.active.session.life_span

• 설명
  • (기존) <공백>
  • (신규)

    이 구성은 비활성 시간 제한에 관계없이 활성 게스트 HTTP 세션에 최대 수명을 적용합니다. 구성된 값은 분 단위이며 값이 0이면 활성 세션의 시간 초과가 비활성화됩니다. 이 특정 속성은 인스턴스에 대한 낮은 액세스 권한이 있는 통합으로 제한됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    최대 수명이 길수록 공격자는 도난당한 세션에 더 오래 머물 수 있으므로 보안 인시던트의 범위가 늘어날 수 있습니다.

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    0

• 폴백 값
  • (기존) <공백>
  • (신규)

    0

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 구성은 비활성 시간 제한에 관계없이 활성 게스트 HTTP 세션에 최대 수명을 적용합니다. 구성된 값은 분 단위이며 값이 0이면 활성 세션의 시간 초과가 비활성화됩니다. 이 특정 속성은 인스턴스에 대한 낮은 권한을 가진 게스트 사용자로 제한됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    최대 수명이 길수록 공격자는 도난당한 세션에 더 오래 머물 수 있으므로 보안 인시던트의 범위가 늘어날 수 있습니다.

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    0

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

설명

• (이전)

  "sn_customerservice.captchaEnabled" 속성은 고객 서비스 관리 포털에서 고객 등록에 대해 CAPTCHA 확인의 사용 여부를 결정합니다.

• (신규)

  "sn_customerservice.captchaEnabled" 속성은 고객 서비스 관리 포털에서 고객 등록에 대해 CAPTCHA 확인의 사용 여부를 결정합니다.

• 설명
  • (기존) <공백>
  • (신규)

    "SNC 사용자 잠금 확인" 또는 "자동 잠금 해제로 SNC 사용자 잠금 확인" 스크립트 작업을 통해 관리자는 사용자의 실패한 로그인 시도 횟수를 관리할 수 있습니다. 사이트 관리자가 Now Platform이 잠기기 전에 사용자가 올바른 암호를 제공할 수 있는 횟수를 관리할 수 있는 두 가지 스크립트 작업을 사용할 수 있습니다. 또한 "glide.user.max_unlock_attempts" 속성은 허용된 실패한 로그인 시도 횟수를 제어합니다. "glide.user.max_unlock_attempts" 값이 권장 값인 "5"보다 높으면 공격자가 특정 사용자에 대해 시도할 수 있는 로그인 시도 횟수가 증가합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    더 많은 시도를 허용하면 공격자가 암호를 추측할 수 있는 추가 기회가 제공되어 무단 액세스 및 자격 증명 손상 가능성이 높아집니다. 적절한 잠금 구성은 강력한 인증 보안을 유지하는 데 매우 중요합니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.cms.catalog_uri_relative" 속성은 /ess/catalog.do의 URI 매개변수에서 상대 링크를 적용합니다. "glide.cms.catalog_uri_relative"이 권장 값인 "예"로 설정되지 않은 경우 URL이 enforceRelativeURL(url) 함수로 정리되지 않습니다. 이 속성은 서비스 포털로 대체된 레거시 CMS(콘텐츠 관리 시스템)에 영향을 미칩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    절대 URL은 매개변수 또는 필드 값의 일부로 사용될 때 보안 위험을 초래할 수 있으므로 소스 페이지를 악의적으로 제어하는 웹 사이트로 리디렉션합니다.

• 간단한 설명
  • (이전)

    동시 세션 제한 플러그인이 설치된 경우 동시 대화형 세션 수량 최소화

  • (신규)

    동시 세션 제한 플러그인으로 동시 대화형 세션 최소화

• 설명
  • (기존) <공백>
  • (신규)

    "glide.authenticate.max.concurrent.interactive.sessions" 속성은 동시 세션 제한(com.glide.limit.concurrent.sessions) 플러그인이 활성화된 경우 사용자에 대해 열 수 있는 활성 세션 수를 제어합니다. 사용자에 대해 열어둘 수 있는 세션 수를 줄이기 위해 이 값을 기본값인 "1"로 사용하는 것이 좋습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    오픈 세션이 많을수록 잠재적으로 하이재킹될 수 있는 세션이 더 많다는 것을 의미합니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.schema"가 권장 값인 "예"로 설정되지 않은 경우 모든 인바운드 테이블 스키마 프로세서 요청에 기본 인증이 필요하지 않습니다. 인바운드 테이블 스키마 프로세서는 플랫폼에 대해 들어오는 스키마 요청을 처리합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 프로세서에서 인증을 생략하면 인스턴스 스키마 데이터에 대한 인증되지 않은 액세스가 발생할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성을 사용하면 기한이 만료된 보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이전 또는 만료된 CSRF 토큰의 사용을 허용하면 애플리케이션이 재생 공격에 노출되어 공격자가 유효한 요청을 재사용하고 합법적인 사용자를 대신하여 무단 작업을 수행할 수 있습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    부울

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    아니오

• 설명
  • (기존) <공백>
  • (신규)

    "com.snc.platform.security.token.auth.cleanup" 속성이 안전하지 않은 값인 "아니오"로 설정되면 만료된 API 키와 HMAC 비밀이 삭제되지 않습니다. 이렇게 하면 토큰 재사용의 가능성이 생깁니다. 유출 또는 손상으로 인해 토큰이 만료된 경우 재사용은 유출된 토큰을 소유한 모든 사람에게 인스턴스를 노출합니다. 만료된 토큰은 "com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept" 및 "com.snc.platform.security.token.auth.days.expired.api_key.is.kept"로 정의된 일 수 동안 유지됩니다. 0 이상의 정수 값이 유효한 값입니다. 값이 0이면 만료된 토큰이 같은 날 삭제됩니다. 기본값은 7일 이하인 것이 좋습니다.

• 정정
  • (이전)

    속성 "com.snc.platform.security.token.auth.cleanup"이 sys_properties 테이블에 없거나 "예"로 설정되어 있는지 확인합니다. "com.snc.platform.security.token.auth.days.expired.api_key.is.kept" 및 "com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept" 속성이 sys_properties 테이블에 없거나 7 이하로 설정되어 있는지 확인합니다. 여기서 7은 일수에 해당합니다.

  • (신규)

    속성 "com.snc.platform.security.token.auth.cleanup"이 sys_properties 테이블에 없거나 "예"로 설정되어 있는지 확인합니다. "com.snc.platform.security.token.auth.days.expired.api_key.is.kept" 및 "com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept" 속성이 sys_properties 테이블에 없거나 7 이하로 설정되어 있는지 확인합니다. 여기서 7은 일수에 해당합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    일수가 많을수록 토큰 재사용의 노출 기간이 늘어납니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 HtmlSanitizerService의 사용 여부를 제어합니다. "com.glide.cs.html.sanitizer.enabled"가 "예"로 설정되지 않은 경우 VA 웹 클라이언트에서 저장된 교차 사이트 스크립팅(XSS) 공격이 가능합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    XSS 취약성은 관리자와 같은 상위 역할로의 권한 상승을 용이하게 하여 시스템 내에서 광범위한 측면 이동을 가능하게 할 수 있습니다.

설명

• (이전)

  시스템 속성을 사용하여 웹 앱의 쿠키/세션 관련 하이재킹 위험을 줄입니다. glide.http.headers_config.enabled가 true로 설정되지 않은 경우 HTTP 응답 헤더 [sys_response_header] 테이블에 정의된 응답 헤더 구성이 사용되지 않습니다. 보안 관련 HTTP 응답 헤더에는 XSS 관련 보호를 지원하는 콘텐츠 보안 정책이 포함됩니다. HTTP 응답 헤더에 대한 자세한 내용은 HTTP 응답 헤더(https://www.servicenow.com/docs/csh?topicname=http-response-header.html&version=latest)를 참조하십시오.

• (신규)

  시스템 속성을 사용하여 웹 앱의 쿠키/세션 관련 하이재킹 위험을 줄입니다. glide.http.headers_config.enabled가 true로 설정되지 않은 경우 HTTP 응답 헤더 [sys_response_header] 테이블에 정의된 응답 헤더 구성이 사용되지 않습니다. 보안 관련 HTTP 응답 헤더에는 XSS 관련 보호를 지원하는 콘텐츠 보안 정책이 포함됩니다. HTTP 응답 헤더에 대한 자세한 내용은 HTTP 응답 헤더(https://www.servicenow.com/docs/csh?topicname=http-response-header.html&version=latest)를 참조하십시오.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 사용자가 잠재적으로 악의적인 요청을 인스턴스에 보낼 수 있는 경고를 수락할 수 없도록 합니다. 이 경고는 피해자의 다른 활성 세션 중 하나에 속하는 일치하지 않는 안티-CSRF 토큰이 있어 POST 요청이 실패할 때 나타납니다. "glide.security.csrf.strict.validation.mode"가 권장 값인 "예"로 설정되지 않은 경우 공격자는 피해자에 속한 다른 활성 세션에서 유출된 안티-CSRF 토큰을 활용하여 CSRF 공격을 공식화할 수 있습니다. 인스턴스에 대한 POST 요청에는 사용자의 현재 세션과 일치하는 "sysparm_ck" 또는 "XUserToken" 내에 안티-CSRF 토큰이 포함되어 있습니다. 안티-CSRF 토큰이 사용자의 다른 활성 세션 중 하나에 대신 연결된 경우 이 속성이 "아니오"로 설정된 경우 POST 요청은 사용자가 사용할 수 있는 "계속" 버튼을 사용하여 security_interceptor.do로 302 리디렉션을 반환합니다. 이 버튼을 클릭하면 유효한 안티-CSRF 토큰이 있는 것을 제외하고 인스턴스에 요청이 다시 제출됩니다. 이 속성을 "예"로 설정하면 security_interceptor.do 페이지로의 302 리디렉션에 "계속" 버튼이 표시되지 않으며 사용자는 요청을 다시 제출할 수 없습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    CSRF 공격에 성공하면 공격자는 피해자가 수행할 수 있는 모든 작업을 효과적으로 수행할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 위임된 개발자가 스크립트를 통해 사용자에게 역할을 할당할 수 있는지 여부를 결정합니다. "com.glide.sys.security.delegateddev.block_grant_roles"가 권장 값으로 설정되지 않은 경우

    값이 "예"인 경우 위임된 개발자가 모든 사용자에게 역할을 할당할 수 있습니다. 이로 인해 승인되지 않은 권한 에스컬레이션이 발생할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    위임된 개발자는 스크립트를 통해 모든 사용자에게 역할을 할당할 수 있으므로 무단 권한 에스컬레이션에 대한 심각한 보안 위험을 초래할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide "glide.basicauth.required.xsd"는 인스턴스에 XSD를 요청하기 위해 인증이 필요한지 여부를 제어합니다. "glide.basicauth.required.xsd"가 권장 값인 "예"로 설정되지 않은 경우 인스턴스의 XSD 요청에 대해 인증이 비활성화됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성을 사용하면 민감한 정보를 유출하는 XSD 프로세서에 대한 인증되지 않은 액세스가 허용됩니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성이 아니오일 경우 자세한 SQL 오류 메시지가 반환되어 중요한 정보가 공개될 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    자세한 SQL 오류 메시지가 반환되면 데이터베이스 구조, 테이블 이름 또는 쿼리 세부 정보와 같은 중요한 정보가 노출될 수 있습니다. 공격자는 이 정보를 활용하여 표적 SQL 주입 공격을 수행하거나 기타 취약점을 악용하여 데이터 침해 및 시스템 손상의 위험을 높일 수 있습니다. 악의적인 활동을 조장하는 정보 공개를 방지하려면 오류 세부 정보를 제한하는 것이 필수적입니다.

• 설명
  • (기존) <공백>
  • (신규)

    스크래치패드는 브라우저에서 액세스할 수 있는 서버의 정보를 쉽게 설정할 수 있는 방법입니다. 관리자는 임의 기록의 임의 데이터를 포함하여 무엇이든 스크립트할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "glide.ui.escape_scratchpad"이 권장 값인 "예"로 설정되지 않은 경우 교차 사이트 스크립팅 취약성과 같은 악의적인 스크립트를 실행할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.pdf"이 권장 값인 "예"로 설정되지 않은 경우 PDF 형식 익스포트 프로세서에 대한 기본 인증이 비활성화됩니다. 이는 guest_user 관련 속성 내에서 잘못된 역할과 결합할 때도 발생합니다(예: 관리자와 같은 높은 권한 있는 사용자). 이렇게 하면 인스턴스 데이터에 대한 미인증 액세스가 발생할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    PDF 익스포트 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합되면 무단 데이터 노출의 상당한 위험이 있습니다.

정정

• (이전)

  플러그인 "com.snc.snc_access_control"이 활성화되어 있는지 확인합니다. https://www.servicenow.com/docs/csh 에서 활성화에 대한 설명서를 읽어보시겠습니까? topicname=t_ActivateSNCAccessControl.html&version=latest입니다.

• (신규)

  플러그인 "com.snc.snc_access_control"이 활성화되어 있는지 확인합니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 "동시 세션 제한" 플러그인과 함께 사용되어야 합니다. 이 플러그인이 설치되고 구성되면 사용자당 오픈 세션 수를 제한할 수 있습니다. 이 속성을 설정하면 단일 애플리케이션 노드 대신 모든 노드에서 세션 수가 추적됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성을 예로 설정하지 않으면 여러 노드에서 여러 세션을 열 수 있으므로 세션 하이재킹이 성공할 가능성이 높아집니다.

• 플러그인 적용 가능성
  • (기존) <공백>
  • (신규)

    com.glide.limit.concurrent.sessions

• 설명
  • (기존) <공백>
  • (신규)

    Now Platform 내의 일부 주요 시스템 테이블에서 접근 통제를 확인하는 중요한 ACL을 몇 개 생성합니다. 이러한 규칙은 많은 시스템 테이블의 보안을 더욱 쉽게 확보하여 조직에서 인스턴스를 프로덕션에 쉽게 끌어들일 수 있도록 합니다. 보안 점프 시작(ACL 규칙) 플러그인은 모든 새 인스턴스에 자동으로 설치됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    액세스 제어의 격차로 인해 권한이 없는 사용자가 민감한 데이터를 보거나 수정하거나 삭제할 수 있어 데이터 무결성, 기밀성 및 조직 보안 정책 준수가 훼손될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.security.enable_archive_table_acls"은 보관 테이블에 추가된 ACL이 평가되는지(예) 또는 원래 테이블(예: 보관 테이블이 생성된 테이블)의 ACL만 평가되는지(아니오)를 제어합니다. 원래 테이블 ACL은 해당 값에 관계없이 평가되며 고객은 보관 테이블에 대한 추가 ACL을 추가하지 않음으로써 간단히 방지할 수 있기 때문에 이 속성이 예가 아닐 이유가 없습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성을 아니오로 설정하면 보관된 테이블에 추가된 ACL이 무시됩니다. 이는 직관에 어긋나고 권한 부여 바이패스로 이어질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.stax.allow_entity_resolution"이 권장 값인 "아니오"로 설정되지 않은 경우 이 속성을 사용하면 스트리밍 파서(XMLDocument2)로 구문 분석하는 동안 XML 엔터티를 확장할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    XML 엔터티 확장은 시스템 파일 읽기 기능 및 서비스 거부와 같은 공격으로 이어질 수 있습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    부울

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    아니오

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "com.snc.process_flow.reporting.require_flow_access"가 예 값으로 설정되면 플로우 컨텍스트를 읽으려는 사용자에 대한 추가 액세스 검사가 수행됩니다. 사용자가 플로우 컨텍스트를 읽을 수 있으려면 상위 플로우에 대한 액세스 권한이 있어야 합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성을 안전하게 설정하지 않으면 사소한 정보가 공개될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.ui.attachment.force_download_all_mime_types" 속성이 예로 설정되면 모든 MIME 유형이 브라우저에서 렌더링되지 않고 다운로드되도록 "glide.ui.attachment.download_mime_types" 속성이 재정의됩니다. 예를 들어 텍스트/html을 다운로드하면 HTML 파일을 브라우저에서 인라인으로 않고 파일로 클라이언트에 다운로드하여 XSS 공격을 방지합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    XSS는 더 많은 측 이동이 가능한 관리자와 같은 더 높은 역할로 쉽게 얻을 수 있는 권한 에스컬레이션으로 이어질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 XML 파서 내에서 엔터티 확장의 최대 양을 제어합니다. "glide.xmlutil.max_entity_expansion"이 권장 값인 3000 이하로 설정되지 않은 경우 GlideXMLUtil 구문 분석 스크립트가 서비스 거부 공격에 취약할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    DoS(서비스 거부) 취약성은 공격자가 시스템을 압도하거나 충돌시켜 합법적인 사용자가 사용할 수 없게 만들고 잠재적으로 중요한 작업을 방해함으로써 보안 위험을 초래합니다.

• 간단한 설명
  • (이전)

    역할별로 전역 앱 개발 제한

  • (신규)

    역할별로 전역 앱 개발 제한

• 설명
  • (기존) <공백>
  • (신규)

    "sn_g_app_creator.allow_global" 속성은 애플리케이션 작성자 안내를 사용하여 전역 범위에서 애플리케이션을 작성할 수 있는 사용자를 제어합니다. "sn_g_app_creator.allow_global"이 권장 값인 "아니오"로 설정된 경우 사용자는 Guided Application Creator를 사용하여 전역 범위에서 애플리케이션을 생성하려면 "sn_g_app_creator.global" 역할이 필요합니다. "sn_g_app_creator.allow_global"이 안전하지 않은 값인 "예"로 설정된 경우 기본 역할 "sn_g_app_creator.app_creator"만 있는 모든 사용자는 Guided Application Creator를 사용하여 전역 범위에서 애플리케이션을 만들 수 있습니다. 전역 범위의 애플리케이션에는 범위 보호가 포함되어 있지 않으므로 개발자는 특정 범위를 넘어 더 많은 특성 및 기능에 액세스할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    전역 애플리케이션 개발을 추가 역할이 있는 사용자로 제한하는 것은 최소 권한 원칙을 따릅니다.

• 설명
  • (기존) <공백>
  • (신규)

    glide.live_profile.details 속성을 사용하여 사용자가 라이브 피드 기능의 라이브 프로파일에서 회사 이름 및 전화 번호와 같은 모든 상세 필드를 볼 수 있어야 하는지 여부를 지정합니다. "glide.live_profile.details"가 "숨기기" 값으로 설정된 경우 라이브 프로파일 정보가 사용자에게 표시되지 않습니다. 표시하도록 설정되면 모든 정보가 표시됩니다. glide.live_profile.details"가 "ACL" 값으로 설정되면 사용자의 프로파일 ACL을 기반으로 정보가 표시됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    회사 소속 및 연락처 세부 정보와 같은 중요한 사용자 정보를 권한 없는 사용자에게 노출하면 ACL이 적용되지 않을 경우 데이터 유출 및 개인정보 보호 통제 위반의 위험이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 ".iix" 파일 확장자를 통해 SVG에 액세스할 때 ContentSecurity-Policy 헤더에 "script-src none"을 추가하여 인스턴스 내에 저장된 작성된 파일 첨부 파일에서 저장된 XSS의 악용을 방지합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 정책이 없으면 악의적인 행위자가 사용자를 속여 웹 브라우저에서 임의의 JavaScript 코드를 실행하도록 하여 데이터 유출 또는 세션 탈취와 같은 결과를 초래할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성을 사용하면 고객이 보간 보호를 켜거나 끌 수 있습니다. 보간 보호는 JavaScript에서 Jelly 표현식을 사용할 때 특정 범주에 속하거나 표현식 자체에서 SAFE로 표시되어 안전한 것으로 간주되어야 합니다. 이 완화를 사용하도록 설정하지 않으면 악의적인 행위자가 작성된 GET 매개 변수를 Jelly 페이지로 보내고 해당 매개 변수의 내용이 관리자 권한이 있는 서버 측 JavaScript로 평가되도록 할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "glide.ui.jelly.js_interpolation.protect"가 권장 값인 "예"로 설정되지 않은 경우 JavaScript에서 보간된 위험한 Jelly 표현식이 허용되고 사용자는 Jelly 템플릿을 사용하여 코드를 실행할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 GlideAjax API 호출에 대한 ACL 확인을 전환합니다. "glide.script.secure.ajaxgliderecord"가 권장 값인 "예"로 설정되지 않은 경우 GlideAjax 요청에 대한 ACL 확인이 완료되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 사용자가 적절한 권한 부여 없이 서버 측 자원에 액세스할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "com.glide.communications.httpclient.ocsp_allow_network_error"이 권장 값인 false로 명시적으로 설정되지 않고 OCSP(온라인 인증서 상태 프로토콜) 검사에서 시간 제한 또는 해지 데이터 검색 실패와 같은 네트워크 관련 문제가 발생하면 시스템은 기본적으로 OCSP 유효성 검사를 성공한 것으로 처리합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    해지된 인증서를 사용하는 공격자는 연결 시도 중에 OCSP 응답을 생략하여 이를 악용할 수 있습니다. 이러한 경우 클라이언트는 해지된 인증서를 유효 인증서로 잘못 수락하여 PKI(공개 키 인프라) 및 보안 웹 통신을 지원하는 신뢰 모델의 무결성을 손상시킵니다. 해지된 인증서의 사용은 인증 기관과 OCSP 응답자 간의 일시적인 동기화 문제로 인한 것이 아닌 한 악의적인 활동을 나타내는 경우가 많습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.excel"이 권장 값인 "예"로 설정되지 않은 경우 EXCEL 형식 익스포트 프로세서에 대한 기본 인증이 비활성화됩니다. 이는 guest_user 관련 속성 내에서 잘못된 역할과 결합할 때도 발생합니다(예: 관리자와 같은 높은 권한 있는 사용자).

• 보안 위험
  • (기존) <공백>
  • (신규)

    Excel 익스포트 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합되면 무단 데이터 노출의 상당한 위험이 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 임포트 세트 API 내에서 다중 삽입 작업에 GlideRecordSecure 또는 GlideRecord를 사용할지 여부를 제어합니다. 이 속성이 "아니오"로 설정되면 GlideRecordSecure를 사용하여 기록을 삽입하고 테이블 수준 ACL을 평가합니다. 이 속성을 "예"로 설정하면 GlideRecord가 기록을 삽입하는 데 사용되며 테이블 수준 ACL은 평가되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성이 권장 값인 "아니오"로 설정되지 않은 경우 권한이 낮은 사용자가 권한 있는 역할의 범위를 벗어난 테이블에 데이터를 삽입할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.ui.user_cookie.max_life_span_in_days"가 권장 값인 "30" 또는 기타 적절한 값으로 설정되지 않은 경우 세션 하이재킹 공격에 매우 긴 수명 세션이 더 취약할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    세션 수명이 길면 공격자가 활성 세션을 하이재킹할 수 있는 기회가 길어져 자격 증명이나 세션 토큰이 손상될 경우 무단 액세스 가능성이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.security.explain.write.locks"가 권장 값인 "아니오"로 설정되지 않은 경우 잠긴 양식 요소에 추가 디버그 정보가 표시됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    잠긴 폼 요소에 디버그 정보를 표시하면 정보가 유출될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 "retrieveAddress" API의 기본 동작을 정의합니다. 속성 "glide.sc.req_for.roles"에 지정된 역할이 없는 경우 클라이언트 호출 가능 스크립트 포함 "ScriptServiceCatalogGetLocation"은 모든 권한이 없는 로그인한 사용자가 호출할 수 있으며 시스템의 다른 사용자의 주소를 검색할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "glide.sc.req_for.roles.default"가 권장 값인 "거부"(허용)로 설정되지 않고 glide.sc.req_for.roles 값이 비어 있으면 모든 사용자가 다른 사용자에게 무단 자원 접근을 허용하는 항목을 요청할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.security.strict.actions"가 권장 값인 "예"로 설정되지 않은 경우 실행 전에 테이블 UI에 확인이 없습니다. 이 속성을 보안 값으로 설정하면 보안 확인 계층이 추가됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    사용자는 권한이 없는 작업을 수행할 수 있으며, 이로 인해 무단 데이터 조작, 권한 상승 및 민감한 기록을 보호하도록 설계된 접근 제어 우회가 발생할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.translated_html.sanitize_all_fields"가 "예" 값으로 설정되면 모든 translated_html 요소가 HTML 위생 검사기를 사용하여 정리됩니다. 속성이 "아니오"로 설정되면 딕셔너리 속성 html_sanitize이 예로 설정된 경우에만 요소가 삭제됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    HTML 요소를 정리하는 것은 공격자가 XSS(교차 사이트 스크립팅) 공격으로 이어질 수 있는 악성 콘텐츠를 포함할 수 없도록 하는 베스트 프랙티스입니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.sc.request.add_item_write_access"이 "예"로 설정되지 않은 경우 로그인한 사용자는 누구나 카탈로그 항목 추가 UI 페이지에 액세스할 수 있습니다. 이로 인해 카탈로그 항목에 대해 무단 작업이 수행될 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 카탈로그 항목을 무단으로 수정하거나 추가할 위험이 있으며, 이로 인해 서비스 중단, 사기성 요청 또는 민감한 데이터의 노출이 발생할 수 있습니다. 카탈로그 관리에서 잘못 구성된 접근 제어는 시스템 무결성을 훼손할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 지식 기록 사용자 기준 보안 기능에 사용되고 있습니다. "glide.knowman.block_access_with_no_user_criteria"이 권장 값인 "예"로 설정되지 않으면 읽을 수 있음 또는 기고할 수 있음 사용자 기준이 없는 지식베이스는 모든 사용자가 읽고 쓸 수 있게 됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "읽을 수 있음" 또는 "기고할 수 있음" 사용자 기준이 명시적으로 없는 지식베이스는 모든 사용자가 접근하고 편집할 수 있게 되며, 이로 인해 민감한 지식 컨텐츠에 무단으로 접근하거나 수정할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 사용자에게 할당된 역할에 따라 다단계 인증을 적용합니다. 이 속성을 예로 설정하면 multi_factor_criteria 테이블에 설명된 모든 사용자에 대해 역할 기반 다단계 인증을 적용합니다. 이 테이블은 사용자에게 할당된 역할에 따라 다단계 인증을 적용합니다. 사용자가 다단계 역할 목록에서 "admin", "security_admin" 또는 "user_admin" 역할을 할당받은 경우 MFA가 적용됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    역할에 따라 MFA를 적용하면 인증 보안이 강화되고 권한 있는 계정을 보호하기 위한 베스트 프랙티스에 부합합니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "com.glide.communications.httpclient.verify_hostname"이 보안 값인 "예"로 설정되지 않은 경우 ServiceNow 인스턴스에서 시작된 TLS 연결 중에 원격 호스트가 제공하는 호스트 이름 및 인증서 체인의 유효성이 확인되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 TLS 연결의 보안이 손상되고 두 당사자 간의 통신을 가로채는 중간자 공격이 허용될 수 있습니다. 이로 인해 민감한 데이터가 공개될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 업로드에 대한 MIME 유형 검사를 활성화하는 데 사용됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "glide.security.file.mime_type.validation"이 권장 값인 예로 설정되지 않은 경우 파일 첨부 파일에 대한 MIME 형식 확인이 수행되지 않으므로 악성 파일 형식을 업로드할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.soapfault.display_stack_trace"이 권장 값인 "아니오"로 설정되지 않은 경우 SOAP 오류 세부 요소의 스택 추적이 표시됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    사용자에게 스택 추적을 표시하면 중요한 정보가 공개될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.soap.require_content_type_xml"이 권장 값인 "예"로 설정되지 않은 경우 SOAP 요청에 대한 확인이 없습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이러한 유효성 검사 부족으로 인해 CSRF(교차 사이트 요청 위조) 공격이 활성화되어 악의적인 액터가 인증된 사용자를 속여 무단 SOAP 요청을 보내도록 할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.service_portal.enable_acls_for_encoded_query_in_list"가 "예"로 설정되지 않은 경우 사용자는 단순 목록 위젯의 쿼리 조건에 대한 ACL 평가를 바이패스할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    무단 데이터 유출을 방지하기 위해 사용자가 쿼리 중인 필드에 액세스할 수 있도록 쿼리 내에서 ACL을 평가하는 것이 가장 좋습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 glide.sys.permissive.impersonate가 아니오 값으로 설정되면 관리자 역할이 있는 사용자만 가장할 수 있습니다. 이 값을 예로 설정하면 사용자는 다음을 수행할 수 있습니다.

    가장 API를 노출하는 애플리케이션 구성요소를 사용하여 더 높은 권한의 사용자를 가장합니다.

• 정정
  • (이전)

    Glide 속성 glide.sys.permissive.impersonate가 아니오 값으로 설정되어 있는지 확인합니다. 이 속성이 없는 경우 기본값은 false입니다. 이 값은 안전하게 재정의할 수 있습니다. 속성이 아니오로 설정된 경우 앞으로 변경할 수 없습니다.

  • (신규)

    Glide 속성 glide.sys.permissive.impersonate가 아니오 값으로 설정되어 있는지 확인합니다. 이 속성이 없는 경우 기본값은 false입니다. 이 값은 안전하게 재정의할 수 있습니다. 속성이 아니오로 설정된 경우 앞으로 변경할 수 없습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이러한 애플리케이션 구성요소가 잘못 구성된 경우 자원에 무단으로 액세스할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.wsdl"이 권장 값인 "예"로 설정되지 않은 경우 WSDL 요청에 대한 기본 인증이 비활성화됩니다. WSDL은 인스턴스 테이블 스키마와 같은 웹 서비스를 설명하는 데 사용되는 프로토콜이며 테이블 내에서 데이터를 공유하기 위한 메커니즘이 아닙니다. 이 속성을 "예"로 설정하면 미인증 사용자에게 테이블 스키마를 공개할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    WSDL 요청에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합될 경우 무단 테이블 스키마가 노출될 위험이 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "sn_hr_core.restrict_guest_email"이 "예"로 설정되지 않은 경우 사용자는 작업 메모에 포함할 HR 케이스를 참조하는 개인 계정에서 이메일을 보낼 수 있습니다. 이로 인해 개인 이메일이 손상되거나 불안정한 통신이 이루어지는 경우 사소한 기밀성 또는 무결성 문제가 발생할 수 있습니다. 관리자는 개인 이메일 계정에 액세스하는 사용자를 신뢰할 수 없으므로 사용자가 개인 이메일을 통해 HR 케이스에 응답하는 기능을 제한할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    개인 이메일 계정이 안전하지 않거나 손상될 수 있고 관리자가 해당 계정의 ID 또는 보안 태세를 확인할 수 없기 때문에 사소한 기밀성 및 무결성 문제가 발생할 위험이 있습니다. 이러한 동작을 허용하면 민감한 HR 통신에 대한 통제가 약화되고 데이터 유출에 대한 노출이 증가합니다.

• 설명
  • (기존) <공백>
  • (신규)

    보안 토큰이 만료되는 시간(초)입니다. 사용자 세션이 만료되면 "만료된 토큰의 재사용 허용" 속성을 사용하도록 설정하지 않으면 보안 토큰도 만료되고 이 속성에서 설명한 시간 프레임 내에 있게 됩니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다. (기본값은 86400초 또는 1일)

• 보안 위험
  • (기존) <공백>
  • (신규)

    CSRF 토큰이 만료되는 시간 제한은 합법적인 사용자 요청을 확인하기 위해 토큰이 유효한 상태로 유지되는 기간을 정의합니다. 너무 오래 설정하면 공격자가 도난당한 토큰을 재사용하여 무단 작업을 수행할 위험이 높아지며, 만료 기간이 짧을수록 공격 기간이 좁아져 이러한 위험이 줄어듭니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.basicauth.required.soap"는 인스턴스에 SOAP를 요청하는 데 기본 인증이 필요한지 여부를 제어합니다. "glide.basicauth.required.soap"가 권장 값인 "예"로 설정되지 않은 경우 SOAP 작업을 수행하는 미인증 사용자는 soap.guest 사용자에게 매핑됩니다. 이렇게 하면 미인증 사용자가 인스턴스에 로그인한 사용자인 것처럼 인스턴스에서 작업을 수행할 수 있습니다. "com.glide.soap.guest_user" 내에서 정의된 사용자에게 추가 역할이 할당된 경우 추가적인 영향이 있을 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    SOAP 익스포트 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합될 경우 무단 데이터 노출의 상당한 위험을 초래합니다.

• 설명
  • (기존) <공백>
  • (신규)

    Glide 속성 "glide.knowman.show_user_feedback"이 "안 함"으로 설정되지 않은 경우 Glide 속성 "glide.knowman.show_user_feedback.roles"에 정의된 역할이 있는 사용자에게 지식 문서에 대한 피드백 의견이 표시됩니다. 피드백 의견에는 민감한 정보가 포함되어 있을 수 있기 때문에 인스턴스 관리자는 피드백이 표시되는 것을 원하지 않을 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성이 "안 함"으로 설정되지 않은 경우 민감한 정보가 피드백에 공개될 경우 기밀성에 영향을 미칠 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.security.strict.user_image_upload"이 권장 값인 "예"로 설정되지 않은 경우 사진 필드에 이미지 업로드에는 ACL이 적용되지 않습니다. 이 속성을 예로 설정하면 사진을 업로드할 때 테이블 ACL이 적용되며 권한 있는 사용자만 이미지를 업로드할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    권한이 없는 사용자는 다른 사용자의 프로파일에 이미지를 업로드할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 쿠키의 만료에 영향을 줍니다. 인증에 성공하면 쿠키는 속성 값으로 지정된 일수 후에 만료됩니다. "glide.ui.user_cookie.life_span_in_days"가 권장 값 15 이하로 설정되지 않은 경우 쿠키가 도난당한 경우 더 오래 사용할 수 있는 위험이 더 높습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    수명이 길수록 도난당한 쿠키가 사용되는 기간이 늘어납니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.api"가 권장 값인 "예"로 설정되지 않은 경우 API 요청에서 기본 인증이 비활성화되고 인스턴스 데이터에 대한 미인증 접근으로 이어질 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    API 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합되면 무단 데이터 노출의 상당한 위험이 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.ui.url.external.content"가 권장 값인 "아니오"로 설정되지 않은 경우 커넥트 채팅은 YouTube, 뉴스 문서, 이미지 등에 대한 링크가 포함된 메시지로 풍부한 컨텐츠를 렌더링하기 위해 외부 링크 메타데이터를 검색합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 SSRF(서버 측 요청 위조) 공격이 발생할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성을 "예"로 설정하면 새 세션을 만들 때 관리자 사용자가 항상 "권한 있음"으로 표시된 역할을 수동으로 상승시켜야 사용자에게 역할의 기능을 부여할 수 있습니다. "아니오"인 경우, "권한 있음"으로 표시된 역할은 관리자 사용자의 새 세션에서 자동으로 상승되며 수동으로 상승시킬 필요가 없습니다("security_admin" 제외). 이 속성을 보안 값으로 설정하면 권한 있는 사용자에 의한 역할 상승에 보안 확인 계층이 추가됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 잠재적인 권한 오용 또는 영향력이 높은 작업이 우발적으로 실행될 위험이 있습니다. 수동 상승이 요구되면 민감한 기능에 대한 무단 또는 의도하지 않은 액세스를 방지하는 데 도움이 되는 의도적인 보안 검사점이 추가됩니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 multiSSO에 대한 디버그 로깅을 제어합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    MultiSSO 디버깅 기능은 의도하지 않은 민감한 정보 유출로 이어질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.ui.secure_cookies"이 권장 값인 "예"로 설정되지 않은 경우 추가 쿠키 보안 및 엄격한 쿠키 확인이 수행되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이를 통해 공격자는 쿠키 유효성 검사를 바이패스하여 무단 리소스 액세스로 이어질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 특성은 현재 Java 보안 관리자의 Java 클래스 이름을 포함합니다. ServiceNow는 Contextual Security Manager를 기반으로 표준화되었습니다. "glide.security.manager"가 권장 값인 "com.glide.sys.security.ContextualSecurityManager"로 설정되지 않은 경우 인스턴스가 예상 강화 정책이 누락된 오래된 Java 보안 관리자를 사용 중일 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 강화가 없으면 스크립트 실행 액세스 권한이 있는 악의적인 액터가 인스턴스에서 원격 코드 실행을 수행할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 플러그인은 true로 설정되면 특정 IP 범위에 대한 액세스를 제한합니다. 인스턴스에 대한 공용 액세스가 의도되지 않는 한 관리자는 할당된 IP 네트워크 블록에 대한 액세스를 제한해야 합니다. IP 주소 액세스 제어(ip_access_list.do)를 통해 IP 주소의 제외 목록(거부) 또는 포함 목록(허용)을 만들 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    IP 주소 접근 제어 플러그인을 적절하게 구성하지 않고 ServiceNow 인스턴스에 대한 무제한 공개 액세스를 허용하면 시스템이 모든 IP 주소에서 무단 액세스 및 악용 가능성에 노출되어 네트워크 수준 보안이 약화되고 공격 노출 영역이 증가합니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 인스턴스에서 데이터를 언로드하는 형태로 테이블/페이지에서 데이터를 검색하는 동안 인증을 수행합니다. "glide.basicauth.required.unl"이 권장 값인 "예"로 설정되지 않은 경우 UNL 형식 익스포트 프로세서에 대한 기본 인증이 비활성화됩니다. 또한 guest_user 관련 속성 내에서 잘못된 역할과 결합될 경우 인스턴스 데이터에 대한 미인증 액세스로 이어질 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성은 특히 잘못 구성된 게스트 사용자 역할과 결합되는 경우 데이터 익스포트를 언로드하기 위한 인증되지 않은 액세스를 허용하여 인스턴스 구성 및 데이터가 무단으로 노출될 심각한 위험을 초래할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 데이터 소스를 인스턴스 테이블/페이지로 임포트하는 동안 이 인증을 수행합니다. 현재 이 데이터에 액세스하는 게스트 사용자를 제한합니다. "glide.basicauth.required.importprocessor"가 권장 값인 "예"로 설정되지 않은 경우 미인증 사용자는 임포트 프로세서에 액세스할 수 있습니다. 추가 접근 통제(예: ACL)는 여전히 적용되지만 이 값을 사용하면 게스트 사용자 임포트 요청을 처리하고 요약적으로 거부되지 않을 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성을 사용하면 인증되지 않은 사용자가 임포트 프로세서를 통해 임포트 요청을 시작할 수 있으며, 이로 인해 잠재적으로 초기 인증 검사를 바이패스할 수 있으며 강제 ACL에도 불구하고 무단 데이터 조작의 위험이 높아질 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 스크립팅된 프로세서를 호출하는 데 기본 인증이 필요한지 여부를 결정합니다. 스크립트된 프로세서에서 액세스하는 모든 기록은 데이터를 반환하기 전에 다른 접근 제어(예: ACL)를 계속 사용합니다. "glide.basicauth.required.scriptedprocessor"가 권장 값인 "예"로 설정되지 않은 경우 공격자는 EmailDisplay sys_processor를 통해 이메일에 액세스하려는 미인증(게스트) 사용자와 같은 중요한 정보에 액세스할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 속성을 사용하면 인증되지 않은 사용자가 스크립트된 프로세서를 호출할 수 있으며, 기존 ACL에도 불구하고 중요한 정보가 노출될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "상황별 보안: 역할 관리" 플러그인은 역할 기반 접근 통제를 통해 정보를 보호하는 사용자 그룹과 역할을 관리하는 데 도움이 됩니다. 플러그인은 상속된 역할에 대한 중복 항목을 효율적으로 통합하고 생성, 읽기, 쓰기 및 삭제 기능을 사용하여 기록/정보를 보호합니다. 설치 및 활성화된 후에는 딕셔너리 역할(단순 보안 관리자에 의해 생성됨)이 더 이상 테스트되지 않습니다. 대신 Now Platform이 필드와 테이블에서 ACL 규칙을 찾습니다. 단순한 보안 관리자가 구현하는 기존의 역할 기반 딕셔너리 규칙 대신 ACL 규칙을 사용하여 데이터를 보호합니다. 딕셔너리 양식을 구성하고 딕셔너리 항목에 역할을 추가해도 권한은 변경되지 않습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    ACL 기반 통제로 완전히 전환하지 못하면 간과되거나 오래된 딕셔너리 역할 구성으로 인해 민감한 데이터가 노출될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    사용자가 "암호 재설정 필요"로 표시되면 다음 인증 시도 시 새 암호를 제공해야 합니다. 이 속성은 API를 호출하기 전에 암호 재설정이 필수인지 여부를 제어합니다. "glide.authenticate.api.user.reset_password.mandatory"가 권장 값인 "예"로 설정되지 않은 경우 "암호 재설정 필요"로 표시된 사용자 계정은 기본 인증을 통해 테이블 API를 쿼리하여 가장 일반적인 작업을 수행할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이를 통해 부실한 계정이 손상된 경우 정보 공개가 허용될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.security.sandbox_no_logging"이 "아니오"로 설정되면 샌드박스 스크립트를 사용하여 권한이 낮은 사용자가 로깅을 사용할 수 있습니다. 이 속성은 샌드박스 환경에서 실행 중인 스크립트를 기록하는 Glide 시스템의 기능을 제어합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    권한이 낮은 사용자는 로그를 삽입하여 악의적인 사용자가 공격을 난독 처리할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 Ajax 스크립트 포함이라고도 하는 클라이언트 호출 가능 스크립트 포함이 인증되지 않은 사용자가 자동으로 사용할 수 없도록 합니다. "glide.script.ccsi.ispublic"이 권장 값인 "아니오"로 설정되지 않은 경우 스크립트 포함을 공용 스크립트로 실행하고 미인증 사용자가 인스턴스 데이터에 액세스할 수 있도록 허용합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    민감한 비즈니스 논리 또는 데이터가 노출될 수 있으므로 인스턴스 자원에 대한 무단 액세스 위험이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    속성 "glide.export.query.enforce_field_acl"이 "예"로 설정되면 수신 쿼리에 대해 필드 ACL을 확인하고 사용자가 승인되지 않은 경우 쿼리를 거부합니다. 속성이 아니오일 경우 수신 쿼리에 대해 ACL이 검사되지 않고 계속 실행됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이로 인해 권한이 없는 당사자에게 정보가 공개될 수 있습니다.

기능적 영향

• (이전)

  비활성 시간 제한에 관계없이 활성 인증된 HTTP 세션에 최대 수명 범위를 적용합니다. 구성된 값은 분 단위입니다. 값이 0이면 활성 세션의 시간 초과가 비활성화됩니다. 최대 수명은 비활성 시간 제한 glide.ui.session_timeout(기본값 30분)보다 길어야 합니다.

• (신규)

  비활성 시간 제한에 관계없이 활성 인증된 HTTP 세션에 최대 수명 범위를 적용합니다. 구성된 값은 분 단위입니다. 값이 0이면 활성 세션의 시간 초과가 비활성화됩니다. 최대 수명은 비활성 시간 제한 glide.ui.session_timeout(기본값 30분)보다 길어야 합니다.

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.email.email_with_no_target_visible_to_all"이 권장값인 아니오로 설정되지 않은 경우, 낮은 수준의 사용자는 자신의 이메일이 아닌 이메일에 액세스할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    특정 대상 기록이 없는 이메일은 모든 사용자에게 표시될 수 있으며, 이로 인해 잠재적으로 민감한 통신에 무단으로 액세스하고 최소 권한 및 데이터 기밀성 원칙을 위반할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 1회 사용자 인증(SSO)을 바이패스하는 기능을 특별히 지정된 관리자에게 바인딩하는 계정 복구 기능을 제어합니다. "glide.sso.acr.enabled"가 권장 값인 "예"로 설정되지 않은 경우 인스턴스에서 Single Signon이 활성화될 때 로컬 대화형 로그인(사용자 이름 또는 암호 기반)이 활성화된 상태로 유지됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    로컬 대화형 로그인을 제거하면 인스턴스에 대한 무단 액세스 가능성이 줄어듭니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 인바운드 RSS 요청에 대한 기본 인증을 제어합니다. "glide.basicauth.required.rss"이 권장 값인 "예"로 설정되지 않은 경우 RSS 형식 익스포트 프로세서에 대한 기본 인증이 비활성화됩니다. 또한 guest_user 관련 속성 내에서 잘못된 역할과 결합될 경우 인스턴스 데이터에 대한 미인증 액세스로 이어질 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    RSS 익스포트 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합되면 무단 데이터 노출의 상당한 위험이 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.basicauth.required.csv"이 권장 값인 "예"로 설정되지 않은 경우 CSV 형식 익스포트 프로세서에 대한 기본 인증이 비활성화됩니다. 이는 guest_user 관련 속성 내에서 잘못된 역할과 결합할 때도 발생합니다(예: 높은 권한 있는 역할). 이렇게 하면 인스턴스 데이터에 대한 미인증 액세스가 발생할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    CSV 익스포트 데이터에 대한 인증되지 않은 액세스가 잘못 구성된 게스트 사용자 역할과 결합되면 무단 데이터 노출의 상당한 위험이 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    password_reset.request.max_attempt_window 속성은 사용자가 password_reset.request.max_attempt 속성으로 설정된 실패한 최대 시도 횟수를 초과한 후 암호를 재설정하거나 변경하기 위해 기다려야 하는 시간(분)을 정의합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    값이 너무 낮으면 암호 재설정을 더 많이 시도할 수 있으므로 무차별 암호 대입이 성공할 위험이 높아집니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.sms.default_complexity"가 권장 값인 "6" 이상으로 설정되지 않은 경우 약한 SMS 확인 토큰이 사용됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이는 계정 탈취로 이어질 수 있는 토큰 추측의 가능성을 높입니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.sms.max_per_day" 속성은 사용자의 일일 검증을 위해 전송된 최대 SMS 코드 수를 나타냅니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    값이 너무 높으면 공격자가 SMS 코드를 강제로 강제 적용하기가 더 쉬워집니다.

• 설명
  • (기존) <공백>
  • (신규)

    게스트 워크업 경험용 captcha는 사용자에게 captcha 확인을 완료하도록 요구하여 인증되지 않은 게스트 사용자가 예약을 생성하지 못하도록 합니다. captcha가 활성화되지 않은 경우 스팸이 자동으로 생성될 수 있습니다.

    약속을 실행하여 시스템을 압도하거나 사용 가능한 모든 예약 스폿을 채워 서비스 거부 공격을 생성합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이렇게 하면 시스템이 스팸 약속 및 자원 고갈 공격에 노출되어 사용 가능한 모든 예약 슬롯이 채워지고 DoS(서비스 거부)가 발생할 수 있습니다. CAPTCHA가 없으면 플랫폼에 자동화된 남용을 방지하고 서비스 가용성을 유지하기 위한 중요한 통제가 부족합니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.request.success_window"가 권장 값인 "1440" 이하로 설정되지 않은 경우 다른 사람이 암호 재설정 기능을 남용하여 사용자 계정에 무단으로 액세스할 수 있는 기회가 증가합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    성공 기간을 제한하면 남용 가능성이 줄어들고 계정 복구 보안이 강화됩니다.

• 설명
  • (기존) <공백>
  • (신규)

    MID 서버 명령 감사 로그는 명령 이름, 명령 해시, 사용된 자격 증명 이름 및 실행 상태와 같은 상세 정보를 추적합니다. 활성화하면 agent_security_admin 역할이 있는 사용자가 MID 서버 명령 감사 로그 [ecc_agent_command_audit_log] 테이블에서 이러한 로그를 볼 수 있습니다. 이 테이블을 보려면 모든 > MID 서버 > 감사 로그 > 명령 감사 로그로 이동합니다.

• 정정
  • (이전)

    MID 서버에서 실행하는 명령에 대한 감사를 설정하려면 ecc_agent_property 테이블에서 mid.log.command_audit.enable을 "true"로 설정합니다. 이 MID 서버 속성을 편집하려면 다음 설명서를 참조하십시오. https://docs.servicenow.com/csh?topicname=mid-audit-log.html&version=latest

  • (신규)

    MID 서버에서 실행하는 명령에 대한 감사를 설정하려면 각 MID 서버의 MID 서버 속성 [ecc_agent_property] 테이블에서 mid.log.command_audit.enable 속성을 true로 설정합니다. 이 속성 설정에 대한 자세한 내용은 https://docs.servicenow.com/csh?topicname=midaudit-log.html&version=latest 문서를 참조하십시오

• 보안 위험
  • (기존) <공백>
  • (신규)

    보안 조사가 진행되는 경우 인시던트 응답 팀이 이 테이블을 사용하여 MID 서버에서 실행되는 명령을 감사할 수 있습니다. 이 로그가 없으면 무단 계정 사용과 같은 상황에 대응하기에 충분한 세부 정보가 없을 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    없음

• CVSS 점수
  • (이전)

    2.2

  • (신규)

    4.4

• 의존성 및 필수 조건
  • (기존) <공백>
  • (신규)

    이 설정은 활성 MID(관리, 계측 및 검색) 서버를 사용하는 인스턴스에만 적용됩니다. MID Server를 사용하면 ServiceNow 인스턴스와 외부 애플리케이션, 데이터 소스 및 서비스 간에 데이터의 통신과 이동이 가능합니다. MID 서버를 설정하려면 Linux 또는 Windows 호스트에 MID 서버 패키지를 다운로드하고, 지정된 ServiceNow 인스턴스와의 연결을 설정하고, 추가 설정을 구성해야 합니다. 정보 및 참고 자료는 https://www.servicenow.com/docs/csh?topicname=mid-serverlanding.html&version=latest 에서 찾을 수 있습니다. 설정이 완료되면 MID 서버는 연결 인스턴스의 MID 서버 [ecc_agent] 테이블에 기록으로 나타납니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    부울

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    아니오

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.security.url.whitelist.strict_check"이 권장 값인 "예"로 설정되지 않은 경우 "glide.security.url.whitelist"가 비어 있을 때 모든 외부 URL을 리디렉션할 수 있습니다. "glide.security.url.whitelist"가 비어 있지 않으면 화이트리스트의 외부 URL만 허용됩니다. 따라서 "glide.security.url.whitelist.strict_check"을 예로 설정하거나 허용된 외부 URL을 사용하여 "glide.security.url.whitelist"가 비어 있지 않은 값으로 설정되도록 하면 인스턴스가 보안 상태로 유지됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    모든 외부 URL의 리디렉션이 허용되는 경우 공격자가 사용자를 악성 웹 사이트로 리디렉션할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.secure_cookie.debug"가 기본값인 "아니오"로 설정되지 않은 경우 SecureUserCookie 및 쿠키 클래스의 디버그 메시지가 로컬호스트 로그에 기록됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    SecureUserCookie 및 Cookie 클래스의 디버그 메시지를 로깅하면 중요한 정보가 공개될 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성 "com.glide.attachment.max_size"는 업로드된 첨부 파일의 최대 크기를 제어합니다. 참고: 실제 첨부 파일 크기는 속성 "com.glide.attachment.max_size"의 곱셈 10241024값을 통해 계산됩니다. 속성 "com.glide.attachment.max_size"의 값이 1024이면 허용되는 최대 첨부 파일 크기는 1Gb입니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    플랫폼은 스토리지를 채우거나 서비스 거부를 유발할 수 있는 대용량 파일을 수락할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이메일 필터(com.glide.email_filter) 플러그인은 인스턴스 내에 이메일 필터링을 설치합니다. 이 필터링은 기존 헤더를 식별하므로 관리자가 연결된 헤더를 기반으로 이메일로 수행할 작업을 결정할 수 있습니다. 이 플러그인은 각 메시지에 헤더를 추가합니다. 헤더는 인스턴스 내에서 필터링하는 데 사용할 수 있습니다. 이 기능은 스팸을 필터링하는 데 매우 유용합니다. 참고: 이 통제는 인바운드 이메일이 활성화된 경우에만 적용되기 때문에 필수 구성요소 속성 "glide.email.read.active"가 예로 설정되어 있는지 확인하십시오.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이메일 필터링을 활성화하고 구성하는 것은 스팸에 대한 노출을 줄이고 시스템 무결성을 유지하는 데 필수적입니다.

• 설명
  • (기존) <공백>
  • (신규)

    속성 "com.glide.snap.infected_download_allowed"이 "예"로 설정되면 바이러스 백신 서비스가 다운되거나 연결할 수 없는 경우 사용자가 검사되지 않은 첨부 파일을 계속 다운로드할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    사용자는 악성 파일을 데스크톱에 다운로드할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.sg.allow_rooted_jailbroken_device"이 권장 값인 "아니오"로 설정되지 않은 경우 모바일 앱을 사용하면 사용자가 탈옥되거나 루팅된 모바일 장치에서 앱을 사용할 수 있습니다. 탈옥되거나 루팅된 모바일 장치는 시스템 수준에서 신뢰할 수 없는 코드를 실행하여 모바일 앱이 의존하는 플랫폼의 보안 모델을 우회할 수 있습니다. "allow_rooted_jailbroken_device"을 "아니오"로 설정하면 제한된 클라이언트 쪽 검사가 이러한 장치 중 하나에서 앱을 사용하려고 할 경우 사용자에게 오류 메시지를 표시할 수 있습니다. 이 구성은 R 수준에서 MASVS v1.4.2 요구 사항 8.1에 매핑됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    루팅되거나 탈옥된 모바일 장치를 허용하면 자격 증명 도난, 데이터 유출 및 악성 코드 실행의 위험이 크게 증가합니다.

• 설명
  • (기존) <공백>
  • (신규)

    OAuth 액세스 토큰이 발급되면 응답에는 쿠키가 포함됩니다. 사용자는 이 쿠키를 사용하여 해당 세션을 생성하는 데 사용된 OAuth 토큰이 만료된 후에도 세션을 계속 사용할 수 있습니다. 이를 방지하려면 glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled 시스템 속성을 사용하십시오.

• 정정
  • (이전)

    Glide 속성 glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled가 다음으로 설정되어 있는지 확인합니다.

    true 값. 기록이 sys_properties 테이블에 없는 경우 기본값은 false입니다. 새로 프로비저닝된 인스턴스에 대해 기록이 생성됩니다.

  • (신규)

    glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled 시스템 속성이 시스템 속성 [sys_properties] 테이블에 있고 true 값으로 설정되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    OAuth 토큰이 유출되거나 손상되면 만료가 없기 때문에 공격자가 생성된 쿠키를 통해 세션을 사용하고 확장할 수 있습니다. 악의적인 사용자는 세션을 사용하여 무단 자원에 액세스하고 무단 작업을 수행할 수 있습니다. 이 속성을 보안 값으로 설정하면 이 숨겨진 세션 확장 메커니즘을 제거하고 토큰 만료를 적용하여 재생 위험을 줄일 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    true로 설정될 때의 영향: 접근 토큰이 만료되면 세션이 즉시 종료됩니다. 쿠키는 더 이상 세션 유효성을 새로 고치지 않습니다. 클라이언트는 새로 고침 토큰을 사용하거나 다시 인증하여 새 접근 토큰을 얻어야 합니다. 잠재적 파손: 쿠키 기반 세션 확장에 의존하는 레거시 클라이언트 또는 사용자 지정 통합은 토큰 만료 후 실패합니다. 토큰 갱신 논리가 없는 장기 실행 작업에는 401 오류가 발생할 수 있습니다. 계속 작동하는 기능: 새로 고침 토큰이 있는 표준 OAuth 플로우 토큰을 사전에 갱신하는 적합하게 설계된 통합

• CVSS 점수
  • (이전)

    5.4

  • (신규)

    6.8

• 데이터 유형
  • (기존) <공백>
  • (신규)

    부울

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    예

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 설명
  • (기존) <공백>
  • (신규)

    인스턴스가 신뢰할 수 없는 소스의 XML 외부 엔터티를 처리하지 못하도록 하려면 glide.xml.entity.whitelist.enabled 및 glide.xml.entity.whitelist 시스템 속성을 사용합니다. XML XXE(외부 엔터티) 공격은 악의적인 액터가 수신 XML을 수정하여 데이터에 액세스하거나 제한된 시스템과 상호 작용할 때 발생합니다. 공격자는 DTD(문서 형식 정의)를 사용하여 서버가 실행할 수 있는 임의의 HTTP 요청을 포함할 수 있습니다. 이렇게 하면 다른 엔터티와 서버의 신뢰 관계를 사용하여 추가 공격이 발생할 수 있습니다. 이러한 공격을 방지하기 위해 glide.xml.entity.whitelist.enabled 시스템 속성은 소스를 제한합니다

    인스턴스가 XML을 실행하는 영역입니다. glide.xml.entity.whitelist 속성을 사용하여 신뢰할 수 있는 소스 집합을 정의합니다. "http://java.sun.com/j2ee/dtds/"로 설정된 "glide.xml.entity.whitelist"의 값은 Java EE(이전의 J2EE)에서 제공하는 DTD(문서 유형 정의)에 대한 참조입니다. 이 URL은 XML 문서의 구조와 법적 요소 및 속성을 정의하는 XML 문서용 표준 DTD가 있는 중앙점 역할을 합니다. 참고: http://java.sun.com/j2ee/dtds/ 이외의 값은 glide.xml.entity.whitelist 속성에 포함할 수 있지만 바로 사용 가능한 플랫폼 상태에는 필요하지 않습니다. 추가 값을 검토하여 안전한지 확인합니다.

• 정정
  • (이전)

    Glide 속성 "glide.xml.entity.whitelist"가 존재하고 "http://java.sun.com/j2ee/dtds/"로 설정되어 있는지, Glide 속성 "glide.xml.entity.whitelist.enabled"가 존재하고 "예" 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.

  • (신규)

    glide.xml.entity.whitelist 시스템 속성이 시스템 속성 [sys_properties] 테이블에 있고 http://java.sun.com/j2ee/dtds/ 로 설정되어 있는지 확인합니다. glide.xml.entity.whitelist.enabled 시스템 속성이 시스템 속성 [sys_properties] 테이블에 있고 true 값으로 설정되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    XEE(XML Eternal Entity) 공격을 통해 공격자는 조작된 XML 페이로드를 통해 데이터를 유출하거나 무단 작업을 수행할 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    화이트리스트 외부 소스의 XML 외부 엔터티는 처리되지 않습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    쉼표로 구분된 목록, 부울

• 설명
  • (기존) <공백>
  • (신규)

    "sn_kb_social_qa.max_subscriptions_per_user_daily"가 권장 값인 "500" 이하로 설정되지 않은 경우 사용자가 하루에 구독할 수 있는 소셜 Q&A 질문의 최대 수에 제한이 없습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    구독이 너무 많으면 자원이 소진될 수 있습니다.

• 간단한 설명
  • (이전)

    동시 세션 제한 플러그인이 설치된 경우 동시 대화형 세션 제한

  • (신규)

    동시 세션 제한 플러그인으로 동시 대화형 세션 제한

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 동시 세션 제한(com.glide.limit.concurrent.sessions) 플러그인과 함께 사용되어야 합니다. 플러그인이 활성 상태이고 속성이 "아니오"로 설정되어 있으면 사용자는 인스턴스에서 동시 대화형 세션을 가질 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    오픈 세션이 많을수록 세션 하이재킹이 발생할 가능성이 큽니다.

• 설명
  • (기존) <공백>
  • (신규)

    "password_reset.request.unlock_window" 속성은 사용자가 마지막으로 성공한 계정 잠금 해제 후 재설정 요청을 시작하기 위해 기다려야 하는 시간(분)을 제어합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    값이 너무 낮으면 악의적인 액터가 자동화된 도구를 사용하여 사용자의 암호를 강제 적용할 수 있는 기회가 증가합니다.

• 설명
  • (기존) <공백>
  • (신규)

    "glide.authenticate.session_access.mobile.refresh_token_interval" 속성은 모바일 장치 사용자가 강제로 재인증을 받아야 하는 시간을 관리합니다. 이는 관리자가 ID 제공자 속성(로그인마다 다를 수 있음)을 구성한 경우에만 적용됩니다.

    세션 액세스 정책과 사용자가 Single Sign On을 통해 인증합니다. 속성 값은 정수(초)입니다. 권장 값은 1800(30분)입니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    값이 크면 공격자가 세션 액세스를 하이재킹할 수 있는 기간이 더 길어질 수 있습니다.

데이터 유형

• (이전)

  부울

• (신규)

  문자열

• 설명
  • (이전)

    시스템 속성을 사용하여 사용자를 가장하여 사용자가 애플리케이션 데이터를 볼 수 없도록 합니다. 계정을 가장할 때 관리자 수준이 해당 사용자에게 속한 애플리케이션 특정 데이터에 액세스하지 못하도록 합니다. 이 권한은 애플리케이션과 관련된 시스템 속성을 만들어 애플리케이션 수준에서 설정할 수 있습니다. 이러한 시스템 속성은 .impersonateCheck 명명 형식(예: sn_hr_core.impersonateCheck)을 사용합니다. true 값을 사용하여 시스템 속성을 생성하여 사용자가 계정을 가장할 때 다른 사용자에게 속한 애플리케이션 관련 데이터에 액세스하지 못하도록 합니다. 참고: 일부 애플리케이션은 이 구성에서 작동하도록 설계되거나 이러한 목적을 위한 시스템 속성 [sys_properties] 기록이 있는 것은 아닙니다. 이 속성을 사용하도록 다음 범위가 구성되어 있습니다. sn_opp_market sn_jny sn_imt_vaccine sn_imt_health_test sn_hr_core sn_egd_goals sn_egd_core sn_egd_act sn_em sn_talent_aia

  • (신규)

    시스템 속성을 사용하여 사용자를 가장하여 사용자가 애플리케이션 데이터를 볼 수 없도록 합니다. 계정을 가장할 때 관리자 수준이 해당 사용자에게 속한 애플리케이션 특정 데이터에 액세스하지 못하도록 합니다. 이 권한은 애플리케이션과 관련된 시스템 속성을 만들어 애플리케이션 수준에서 설정할 수 있습니다. 이러한 시스템 속성은 .impersonateCheck 명명 형식(예: sn_hr_core.impersonateCheck)을 사용합니다. true 값을 사용하여 시스템 속성을 생성하여 사용자가 계정을 가장할 때 다른 사용자에게 속한 애플리케이션 관련 데이터에 액세스하지 못하도록 합니다. 참고: 일부 애플리케이션은 이 구성에서 작동하도록 설계되거나 이러한 목적을 위한 시스템 속성 [sys_properties] 기록이 있는 것은 아닙니다. 이 속성을 사용하도록 다음 범위가 구성되어 있습니다. sn_opp_market sn_jny sn_imt_vaccine sn_imt_health_test sn_hr_core sn_egd_goals sn_egd_core sn_egd_act

    sn_em sn_talent_aia sn_ecn

• 정정
  • (이전)

    시스템 속성 [sys_properties] 테이블에 .impersonateCheck 속성이 있는 각 애플리케이션의 경우 속성 값이 true로 설정되어 있는지 확인합니다. 이러한 속성은 특정 애플리케이션에 대해 범위가 지정된 관리자만 수정할 수 있습니다. 이 스크립트를 사용하여 인스턴스에서 업데이트하거나 작성해야 하는 속성을 찾습니다.

    var properties = [ 'sn_opp_market.impersonateCheck', 'sn_jny.impersonateCheck', 'sn_imt_vaccine.impersonateCheck', 'sn_imt_health_test.impersonateCheck', 'sn_hr_core.impersonateCheck', 'sn_egd_goals.impersonateCheck', 'sn_egd_core.impersonateCheck',]

    ['sn_egd_act.impersonateCheck', 'sn_em.impersonateCheck', 'sn_talent_aia.impersonateCheck' ]; var pm = 새로운 GlidePluginManager(); for (var i = 0; i < properties.length; i++) { var property = properties[i]; var application = property.split('.')[0]; var propertyValue = gs.getProperty(property, 'false'); if (pm.isActive(application) &; propertyValue.toLowerCase() != 'true') { gs.print(property); } }

  • (신규)

    시스템 속성 [sys_properties] 테이블에 .impersonateCheck 속성이 있는 각 애플리케이션의 경우 속성 값이 true로 설정되어 있는지 확인합니다. 이러한 속성은 특정 애플리케이션에 대해 범위가 지정된 관리자만 수정할 수 있습니다. 이 스크립트를 사용하여 인스턴스에서 업데이트하거나 작성해야 하는 속성을 찾습니다.

    var properties = [ 'sn_opp_market.impersonateCheck', 'sn_jny.impersonateCheck', 'sn_imt_vaccine.impersonateCheck', 'sn_imt_health_test.impersonateCheck', 'sn_hr_core.impersonateCheck', 'sn_egd_goals.impersonateCheck', 'sn_egd_core.impersonateCheck', 'sn_egd_act.impersonateCheck', 'sn_em.impersonateCheck', 'sn_talent_aia.impersonateCheck', 'sn_ecn.impersonateCheck' ]; var pm = 새로운 GlidePluginManager(); for (var i = 0; i < properties.length; i++) { var property = properties[i]; var application = property.split('.')[0]; var propertyValue = gs.getProperty(property, 'false'); if (pm.isActive(application) &; propertyValue.toLowerCase() != 'true') { gs.print(property); } }

• 기능적 영향
  • (이전)

    관리자 수준 사용자는 다른 사용자를 가장하여 특정 애플리케이션 컨텍스트에서 해당 사용자의 데이터를 볼 수 없습니다.

  • (신규)

    관리자 수준 사용자는 다른 사용자를 가장하여 특정 애플리케이션 컨텍스트에서 해당 사용자의 데이터를 볼 수 없습니다.

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 설명
  • (이전)

    인스턴스의 이미지를 보호하여 중요한 정보 유출을 방지합니다. 인스턴스의 이미지는 .iix로 끝나는 URL을 통해 액세스할 수 있습니다. glide.image_provider.security_enabled 시스템 속성을 true로 설정하여 이러한 URL을 통해 이미지에 액세스할 수 없도록 합니다. [참고] 원본 테이블이 다음 중 하나일 경우 첨부 파일 테이블의 이미지에 대해 이 속성이 적용되지 않습니다. 편지지 [sysevent_email_style] 시작 페이지 섹션 [sys_home] 시스템 속성 [sys_properties]

  • (신규)

    glide.image_provider.security_enabled 속성을 사용하여 이미지 첨부 파일에 대한 인증되지 않은 액세스를 제한합니다. true로 설정하면 인증된 모든 사용자에게 이미지가 표시되지만 인증되지 않은 사용자는 볼 수 없습니다. false로 설정하면 첨부 파일 URL이 있는 모든 사용자에게 이미지가 표시됩니다. 첨부된 이미지의 썸네일은 첨부된 원본 이미지와 동일한 정책을 유지하며 첨부된 원본 이미지와 동일한 사용자 집합이 액세스할 수 있습니다. 이 속성을 사용하도록 설정하면 보안 허용/거부 목록 엔터티[sys_security_restricted_list] 테이블의 항목을 통해 그리고 KB 문서에 첨부된 이미지에 대한 공용 KB 문서 선언을 통해 인증되지 않은 사용자에 대한 보다 세부적인 액세스 제어를 얻을 수 있습니다. 이 속성이 true일 때 인증되지 않은 사용자에 대한 기본 정책에 대한 이러한 예외는 다음과 같은 순서로 적용됩니다. 이러한 예외에서 "상위 테이블"은 썸네일이 생성되는 원본 이미지 첨부 파일의 테이블을 나타냅니다. 1. 첨부된 이미지의 테이블 또는 썸네일 이미지의 상위 테이블이 보안 허용/거부 목록 엔터티[sys_security_restricted_list] 테이블에 거부 목록에 추가되면 이미지/썸네일에 대한 액세스가 거부됩니다. 2. 첨부된 이미지의 테이블 또는 썸네일 이미지의 상위 테이블이 보안 허용/거부 목록 엔터티[sys_security_restricted_list] 테이블에서 허용 목록에 있는 경우 이미지/썸네일에 대한 액세스 권한이 부여됩니다. 3. 첨부된 이미지의 테이블 또는 썸네일 이미지의 상위 테이블이 공개 KB 문서에 포함된 경우 이미지/썸네일에 대한 접근 권한이 부여됩니다.

• 정정
  • (이전)

    "glide.image_provider.security_enabled" 속성이 "예"로 설정되어 있는지 확인하십시오.

  • (신규)

    "glide.image_provider.security_enabled" 속성이 "예"로 설정되어 있는지 확인하십시오. 속성이 "sys_properties" 테이블에 없는 경우 기본값은

    "false"입니다.

• 보안 위험
  • (이전)

    일부 첨부 파일에는 중요한 정보가 포함될 수 있으므로 인증되지 않은 사용자에 대해서는 제한을 적용해야 합니다.

  • (신규)

    이 속성이 false로 설정되면 이미지 첨부 파일은 첨부 파일 URL로 인증되거나 인증되지 않은 모든 사람에게 표시됩니다. 이는 민감한 정보 유출로 이어질 수 있습니다. 이를 방지하려면 속성을 true로 설정하고 속성이 true일 때 기본 정책에 대한 예외가 올바르게 구성되었는지 확인합니다.

• 기능적 영향
  • (이전)

    기능에 큰 영향을 미치지 않습니다. 이전에 .iix에 직접 액세스한 사용자는 반드시 인증을 거쳐야 하기 때문에 사용자 경험이 영향을 받을 수 있습니다.

  • (신규)

    속성이 이전에 false였다가 true로 설정된 경우 제외 절차 중 하나를 사용하여 명시적으로 허용되지 않는 한 인증되지 않은 사용자는 더 이상 이미지 첨부 파일에 액세스할 수 없습니다.

• 기술 구성 이름
  • (이전)

    glide.enable.blacklist_password

  • (신규)

    glide.enable.blacklist_password, blacklisted_password

• 설명
  • (기존) <공백>
  • (신규)

    glide.enable.blacklist_password 속성을 사용하여 거부 목록 암호를 모니터링합니다. 속성을 true로 설정하면 거부 목록에 나열된 특정 암호 목록에 대해 사용자의 암호가 확인됩니다. 이 거부는 사용자가 일련의 위반된 암호에서 암호를 사용하지 못하도록 합니다. 제외된 암호 [blacklisted_password] 테이블에 암호를 삽입하여 목록을 유지할 수 있습니다. ServiceNow는 암호 정책 > 제외 목록 관리의 모든 >에 있는 UI 페이지를 통해 제외된 암호 테이블에 삽입할 수 있는 소형, 중형 또는 대형 암호 목록을 제공합니다. ServiceNow는 5,000개의 암호로 구성된 작은 목록을 새 인스턴스에 설치합니다.

• 정정
  • (이전)

    "glide.enable.blacklist_password" 속성이 "예"로 설정되어 있는지 확인합니다.

  • (신규)

    glide.enable.blacklist_password 시스템 속성이 true로 설정되어 있고 제외된 암호 [blacklisted_password] 테이블에 최소 5,000개의 기록이 포함되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    공격자는 일반적으로 사용되거나 이전에 노출된 암호를 표적으로 삼는 경우가 많습니다. 이로 인해 자격 증명 스터핑 또는 무차별 대입 공격을 통해 계정 손상이 발생할 수 있습니다. 거부 목록 암호 검사를 적용하면 인증 보안이 강화되고 자격 증명 기반 공격에 대한 노출이 줄어듭니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    일부 사용자는 암호를 선택하는 데 어려움을 겪을 수 있습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    부울

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    예

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 설명
  • (이전)

    애플리케이션 외부의 기본 테이블에 상주하는 애플리케이션 데이터의 동작을 제어합니다. 이러한 속성의 값이 true이면 이러한 테이블에 있는 애플리케이션 데이터에 대한 액세스 여부는 애플리케이션별 ACL만 평가됩니다. 일부 애플리케이션은 이러한 구성에서 작동하거나 이러한 목적으로 시스템 속성 [sys_properties] 레코드를 사용하도록 설계되지 않았습니다. 이러한 시스템 속성은 glide.enforce_security_scope을 사용합니다. 명명 형식입니다. 예를 들어 sn_hr_sp(직원 센터 코어) 범위에 glide.enforce_security_scope.sn_hr_sp 속성을 사용합니다. 다음 애플리케이션 범위에는 이 속성이 포함되어 있습니다. sn_doc sn_egd_act sn_egd_core sn_egd_goals sn_em sn_gsm sn_gsm_info_req sn_gsm_lic_prmt sn_gsm_lic_prmt_ex sn_gsm_soc_bnfts sn_hc_professional sn_hr_agent_ws sn_hr_ai_agents sn_hr_awa

    sn_hr_core sn_hr_ef sn_hr_er sn_hr_gen_ai sn_hr_hc sn_hr_le sn_hr_le_ent sn_hr_mii_base sn_hr_na_galileo sn_hr_pad sn_hr_pj sn_hr_sp sn_hr_va sn_hr_ws sn_imt_health_test sn_imt_tracing sn_imt_vaccine sn_ja sn_jny sn_lg_contracts sn_lg_matter sn_lg_ops sn_opp_market sn_professional sn_ svc_appl_info sn_svc_appl_pgm_mg sn_talent_aia sn_uni_req sn_uni_task

  • (신규)

    애플리케이션 외부의 기본 테이블에 상주하는 애플리케이션 데이터의 동작을 제어합니다. 이러한 속성의 값이 true이면 이러한 테이블에 있는 애플리케이션 데이터에 대한 액세스 여부는 애플리케이션별 ACL만 평가됩니다. 일부 애플리케이션은 이러한 구성에서 작동하거나 이러한 목적으로 시스템 속성 [sys_properties] 레코드를 사용하도록 설계되지 않았습니다.

    이러한 시스템 속성은 glide.enforce_security_scope을 사용합니다. 명명 형식입니다. 예를 들어 sn_hr_sp(직원 센터 코어) 범위에 glide.enforce_security_scope.sn_hr_sp 속성을 사용합니다. 다음 애플리케이션 범위에 이 속성이 포함되어 있습니다. sn_doc sn_egd_act sn_egd_core sn_egd_goals sn_em sn_gsm sn_gsm_info_req sn_gsm_lic_prmt sn_gsm_lic_prmt_ex sn_gsm_soc_bnfts sn_hc_professional sn_hr_agent_ws sn_hr_ai_agents sn_hr_awa sn_hr_core sn_hr_ef sn_hr_er sn_hr_gen_ai sn_hr_hc sn_hr_le sn_hr_le_ 이비인후과 sn_hr_mii_base sn_hr_na_galileo sn_hr_pad sn_hr_pj sn_hr_sp sn_hr_va sn_hr_ws sn_imt_health_test sn_imt_tracing sn_imt_vaccine sn_ja sn_jny

    sn_lg_contracts sn_lg_matter sn_lg_ops sn_opp_market sn_professional sn_svc_appl_info sn_svc_appl_pgm_mg sn_talent_aia sn_uni_req sn_uni_task sn_egd_lh sn_ecn sn_ni_core sn_hr_voice_aia

• 정정
  • (이전)

    시스템 속성 [sys_properties] 테이블에서 glide.enforce_security_scope 속성으로 설치된 각 애플리케이션(예: glide.enforce_security_scope.sn_hr_core)의 경우 속성 값이 true로 설정되어 있는지 확인합니다. 이러한 속성은 특정 애플리케이션에 대해 범위가 지정된 관리자만 수정할 수 있습니다. 지정된 애플리케이션 및 해당 속성에 대한 sys_properties 기록이 없는 경우 이를 생성해야 합니다. var properties = [ 'glide.enforce_security_scope.sn_uni_task', 'glide.enforce_security_scope.sn_uni_req', 'glide.enforce_security_scope.sn_svc_appl_info', 'glide.enforce_security_scope.sn_professional', 'glide.enforce_security_scope.sn_opp_market', 'glide.enforce_security_scope.sn_lg_ops', 'glide.enforce_security_scope.sn_lg_matter', 'glide.enforce_security_scope.sn_lg_contracts', 'glide.enforce_security_scope.sn_jny', 'glide.enforce_security_scope.sn_ja', 'glide.enforce_security_scope.sn_imt_vaccine', 'glide.enforce_security_scope.sn_imt_tracing', 'glide.enforce_security_scope.sn_imt_health_test', 'glide.enforce_security_scope.sn_hr_ws', 'glide.enforce_security_scope.sn_hr_va', 'glide.enforce_security_scope.sn_hr_sp', 'glide.enforce_security_scope.sn_hr_pj', 'glide.enforce_security_scope.sn_hr_pad', 'glide.enforce_security_scope.sn_ hr_mii_base', 'glide.enforce_security_scope.sn_hr_le','glide.enforce_security_scope.sn_hr_le_ent', 'glide.enforce_security_scope.sn_hr_hc', 'glide.enforce_security_scope.sn_hr_gen_ai', 'glide.enforce_security_scope.sn_hr_er', 'glide.enforce_security_scope.sn_hr_ef', 'glide.enforce_security_scope.sn_hr_core', 'glide.enforce_security_scope.sn_hr_awa', 'glide.enforce_security_scope.sn_hr_agent_ws', 'glide.enforce_security_scope.sn_hc_professional', 'glide.enforce_security_scope.sn_gsm_soc_bnfts', 'glide.enforce_security_scope.sn_gsm_lic_prmt_ex', 'glide.enforce_security_scope.sn_gsm_lic_prmt', 'glide.enforce_security_scope.sn_gsm_info_req', 'glide.enforce_security_scope.sn_gsm', 'glide.enforce_security_scope.sn_em', 'glide.enforce_security_scope.sn_egd_goals', 'glide.enforce_security_scope.sn_egd_core', 'glide.enforce_security_scope.sn_egd_act', 'glide.enforce_security_scope.sn_doc', 'glide.enforce_ security_scope.sn_talent_aia', 'glide.enforce_security_scope.sn_hr_na_galileo', 'glide.enforce_security_scope.sn_svc_appl_pgm_mg', 'glide.enforce_security_scope.sn_hr_ai_agents', 'glide.enforce_security_scope.sn_hr_mii_base' ]; var pm = 새로운 GlidePluginManager(); for (var i = 0; i < properties.length; i++) { var property = properties[i]; var application = property.split('.')[2]; var propertyValue = gs.getProperty(property, 'false'); if (pm.isActive(application) &; propertyValue.toLowerCase() != 'true') { gs.print(property); } }

  • (신규)

    시스템 속성 [sys_properties] 테이블에서 glide.enforce_security_scope 속성으로 설치된 각 애플리케이션(예: glide.enforce_security_scope.sn_hr_core)의 경우 속성 값이 true로 설정되어 있는지 확인합니다. 이러한 속성은 특정 애플리케이션에 대해 범위가 지정된 관리자만 수정할 수 있습니다. 지정된 애플리케이션 및 해당 속성에 대한 sys_properties 기록이 없는 경우 이를 생성해야 합니다. 이 스크립트를 사용하여 인스턴스에서 업데이트하거나 작성해야 하는 속성을 찾을 수 있습니다.

    var properties = [ 'glide.enforce_security_scope.sn_uni_task','glide.enforce_security_scope.sn_uni_req', 'glide.enforce_security_scope.sn_svc_appl_info', 'glide.enforce_security_scope.sn_professional', 'glide.enforce_security_scope.sn_opp_market', 'glide.enforce_security_scope.sn_lg_ops', 'glide.enforce_security_scope.sn_lg_matter', 'glide.enforce_security_scope.sn_lg_contracts', 'glide.enforce_security_scope.sn_jny', 'glide.enforce_security_scope.sn_ja', ' glide.enforce_security_scope.sn_imt_vaccine', 'glide.enforce_security_scope.sn_imt_tracing', 'glide.enforce_security_scope.sn_imt_health_test', 'glide.enforce_security_scope.sn_hr_ws', 'glide.enforce_security_scope.sn_hr_va', 'glide.enforce_security_scope.sn_hr_sp', 'glide.enforce_security_scope.sn_hr_pj', 'glide.enforce_security_scope.sn_hr_pad', 'glide.enforce_security_scope.sn_hr_mii_base', 'glide.enforce_security_scope.sn_hr_le', 'glide.enforce_ security_scope.sn_hr_le_ent', 'glide.enforce_security_scope.sn_hr_hc', 'glide.enforce_security_scope.sn_hr_gen_ai', 'glide.enforce_security_scope.sn_hr_er', 'glide.enforce_security_scope.sn_hr_ef', 'glide.enforce_security_scope.sn_hr_core', 'glide.enforce_security_scope.sn_hr_awa', 'glide.enforce_security_scope.sn_hr_agent_ws', 'glide.enforce_security_scope.sn_hc_professional', 'glide.enforce_security_scope.sn_gsm_soc_bnfts', 'glide.enforce_security_ scope.sn_gsm_lic_prmt_ex', 'glide.enforce_security_scope.sn_gsm_lic_prmt', 'glide.enforce_security_scope.sn_gsm_info_req', 'glide.enforce_security_scope.sn_gsm', 'glide.enforce_security_scope.sn_em', 'glide.enforce_security_scope.sn_egd_goals', 'glide.enforce_security_scope.sn_egd_core', 'glide.enforce_security_scope.sn_egd_act', 'glide.enforce_security_scope.sn_doc', 'glide.enforce_security_scope.sn_talent_aia', 'glide.enforce_security_scope.sn_hr_na_ 갈릴레오', 'glide.enforce_security_scope.sn_svc_appl_pgm_mg', 'glide.enforce_security_scope.sn_hr_ai_agents', 'glide.enforce_security_scope.sn_egd_lh', 'glide.enforce_security_scope.sn_ecn', 'glide.enforce_security_scope.sn_ni_core', 'glide.enforce_security_scope.sn_hr_voice_aia', ];

    var pm = 새로운 GlidePluginManager(); for (var i = 0; i < properties.length; i++) { var property = properties[i]; var application = property.split('.')[2]; var propertyValue = gs.getProperty(property, 'false'); if (pm.isActive(application) &; propertyValue.toLowerCase() != 'true') { gs.print(property); } }

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 설명
  • (기존) <공백>
  • (신규)

    glide.script_processor.admin 시스템 속성을 사용하여 스크립트 - 백그라운드 모듈에 액세스하는 데 필요한 역할을 설정합니다. 이 속성이 권장 값인 background_script_admin 또는 다른 높은 권한 역할로 설정되지 않은 경우 권한이 더 낮은 역할의 사용자가 인스턴스에서 백그라운드 스크립트를 실행할 수 있습니다.

• 정정
  • (이전)

    속성 "glide.script_processor.admin"이 "관리자"로 설정되어 있는지 확인합니다. 인스턴스에서 기본값입니다.

  • (신규)

    속성 glide.script_processor.admin이 background_script_admin로 설정되어 있는지 확인합니다. 이 값도 기본값입니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    백그라운드 스크립트를 사용하면 ACL 시스템을 완전히 바이패스하여 테이블에 대한 전체 액세스를 허용할 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    속성에 지정된 역할이 없는 사용자는 의도한 대로 스크립트 - 백그라운드 모듈에 액세스할 수 없습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    사용자 역할을 포함하는 문자열

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    background_script_admin

• 폴백 값
  • (이전)

    관리자

  • (신규)

    background_script_admin

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 설명
  • (기존) <공백>
  • (신규)

    속성 "com.glide.communications.httpclient.verify_revoked_certificate"이 권장 값인 예로 구성되지 않은 경우 TLS 핸드셰이크 중에 인증서 해지 확인을 건너뜁니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이러한 누락은 중요한 보안 제어를 약화시켜 공격자가 탐지되지 않고 해지된 인증서를 사용할 수 있도록 합니다. 결과적으로 PKI(공개 키 인프라)의 무결성과 보안 웹 통신을 지원하는 신뢰 모델이 손상됩니다.

• 간단한 설명
  • (이전)

    허용된 ServiceNow 내부 IP 주소 정의

  • (신규)

    인스턴스에 대한 IP 허용 목록의 범위 축소

• 설명
  • (기존) <공백>
  • (신규)

    glide.ip.authenticate.strict 속성을 사용하여 인스턴스의 IP 허용 목록 범위를 줄이고 ServiceNow 직원이 인스턴스에 대한 인바운드/아웃바운드 연결을 만드는 데 사용할 수 있는 IP 주소를 제한합니다. 이 속성에 의해 IP 허용 목록에서 제거된 정확한 IP 범위는 시간이 지남에 따라 다음과 같이 조정될 수 있습니다.

    ServiceNow 내부 네트워크 변경. 예로 설정되면 glide.ip.authenticate.strict은 항상 기본값과 같거나 더 제한적인 IP 허용 목록을 보장합니다. glide.ip.authenticate.strict이 예로 설정된 경우: 엄격한 ServiceNow IP 범위 목록이 인바운드 및 아웃바운드 요청에 대한 기본 IP 허용 목록을 대체합니다. 보다 제한적인 미리 정의된 허용 IP 범위 집합으로 시작하는 이 IP 허용 목록은 인스턴스가 자체 호스팅되는 경우 속성 glide.ip.authenticate.allow.secured.self_hosted_list로 대체됩니다. glide.ip.authenticate.strict이 아니오로 설정된 경우: 더 넓은 ServiceNow IP 범위 세트를 포함하는 기본 IP 허용 목록이 사용됩니다. 인스턴스가 자체 호스팅되는 경우 기본 IP 허용 목록이 glide.ip.authenticate.allow.self_hosted_list의 내용으로 대체됩니다. 참고: glide.ip.authenticate.strict의 값이나 인스턴스가 자체 호스팅되는지 여부에 관계없이 허용 목록에는 glide.사용자 지정.ip.인증.허용 및 glide.사용자 지정.ip.아웃바운드.인증.허용 시스템 속성(정의된 경우)의 IP 주소가 포함됩니다. 모든 IP 목록 속성은 IPv4 또는 IPv6 형식의 쉼표로 구분된 IP 주소 범위인 동일한 형식을 공유합니다. IP 범위는 하이픈(10.0.10.14-10.0.10.19), CIDR 표기법(10.0.10.0/24)을 사용하거나 단일 IP 주소(10.0.10.5)로 구성됩니다. 런타임 시 IP 주소 접근 제어 [ip_access] 테이블에 항목을 추가하여 IP 허용 목록에 추가할 수 있습니다. 이 테이블을 사용하여 인스턴스에 대한 IP 범위 액세스를 명시적으로 거부할 수도 있습니다.

• 정정
  • (이전)

    "glide.ip.authenticate.allow.secured" 속성에 신뢰할 수 있는 값만 포함되어 있고 "glide.ip.authenticate.strict" 속성이 "예"로 설정되어 있는지 확인합니다.

  • (신규)

    glide.ip.authenticate.strict 속성이 예로 설정되어 있는지 확인합니다. 속성이 시스템 속성 [sys_properties] 테이블에 없으면 기본값은 false입니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    접근이 광범위할수록 지원 직원이나 영업 직원과 같이 필수적이지 않은 내부 사용자가 인스턴스에 무단으로 또는 불필요하게 액세스할 위험이 높아지고 권한 있는 액세스에 대한 통제가 감소합니다. 엄격한 IP 인증을 적용하면 필수 인프라에 대한 연결이 제한되어 보안이 강화되며 내부자 위협이나 잘못된 구성에 대한 노출이 줄어듭니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    기능에는 영향을 미치지 않아야 합니다. 필수적이지 않은 ServiceNow 개인의 인스턴스 액세스가 제한될 수 있습니다. 그러나 일반적으로 이러한 인스턴스에 액세스할 필요가 없는 개인입니다. 접근이 필요한 경우 IP 주소 접근 제어[ip_access] 테이블을 사용하여 사례별로 부여할 수 있습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    부울

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    아니오

• 설명
  • (기존) <공백>
  • (신규)

    com.glide.security.referrerpolicy 시스템 속성을 사용하여 Now Platform 전체에서 리퍼러 HTTP 헤더에 포함되는 정보를 제어합니다. 이 속성의 정책에 따라 참조자 헤더에 포함된 데이터는 전체 참조자 URL의 원본, 경로 및 쿼리 문자열입니다. 이러한 값은 HTTP 프로토콜에서 지원하는 표준화된 참조자 정책 값이며

    값은 "기본값"입니다. 이 속성으로 설정한 정책에 따라 리퍼러 헤더에는 요청을 하는 엔터티에 대한 중요한 정보 또는 엔터티의 중요한 정보가 포함될 수 있습니다.

• 정정
  • (이전)

    Glide 속성 "com.glide.security.referrerpolicy"가 "기본값"으로 설정되어 있는지 확인합니다.

  • (신규)

    com.glide.security.referrerpolicy 시스템 속성이 "default", "same-origin", "origin-when-cross-origin" 또는 "strict-originwhen-cross-origin" 중 하나로 설정되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    com.glide.security.referrerpolicy 시스템 속성이 no-referrer-when-downgrade 또는 unsafe-url로 설정된 경우, 원본과 다른 사이트에 대한 요청의 리퍼러 헤더에는 요청을 하는 참조 페이지의 전체 URL이 포함됩니다. 외부 사이트와 공유되는 전체 리퍼러 URL에는 인스턴스에서 보낸 중요한 정보 또는 인스턴스에 대한 중요한 정보가 포함될 수 있습니다. 이는 데이터 유출 및 개인 정보 침해로 이어질 수 있습니다. 속성이 no-referrer, origin 또는 strict-origin으로 설정되면 리퍼러 헤더가 포함되지 않거나 요청이 오리진으로 전송될 때 리퍼러 URL의 원본 부분만 포함됩니다. 이러한 변경은 요청의 정확한 출처를 쉽게 확인할 수 없기 때문에 보안 인시던트가 발생할 때 로그에서 공격 경로를 추적하려는 노력을 방해할 수 있습니다. 이 속성을 올바르게 구성하는 것은 내부 식별자 또는 기밀 매개변수의 무단 공개를 방지하는 동시에 보안 인시던트 조사를 허용하는 데 필수적입니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    com.glide.security.referrerpolicy 시스템 속성이 no-referrer, origin 또는 strict-origin으로 설정된 경우, 요청이 원본으로 전송될 때 리퍼러 헤더가 포함되지 않거나 리퍼러 URL의 원본 부분만 포함됩니다. 이 변경으로 인해 이 데이터가 필요한 기능이 중단될 수 있습니다. YouTube와 같은 일부 사이트에서는 리퍼러 헤더에 최소한 원본을 포함하기 위해 포함된 링크 요청이 필요합니다(예: "origin-when-cross-origin" 정책). 이 속성의 적절한 값은 인스턴스 소유자와 사용 사례에 따라 다릅니다. 우리가 권장하는 것들은 여기에 설명되어 있습니다. 이러한 정책은 안전하며 기본 시스템 기능을 손상시키지 않습니다. 이러한 정책과 기타 표준화된 정책에 대한 자세한 내용은 https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Referrer-Policy 에서 확인할 수 있습니다. 기본값: 값을 same-origin으로 설정하는 것과 기능적으로 동일함: 동일한 원본 요청에 대한 원본, 경로 및 쿼리 문자열을 보냅니다. 교차 원본 요청에 대한 참조자 헤더를 보내지 않습니다. origin-when-cross-origin: 동일한 원본 요청을 수행할 때 원본, 경로 및 쿼리 문자열을 보냅니다. 교차 원본 요청 및 보안이 덜한 대상(HTTPS에서 HTTP로)으로 요청에 대한 원본만 보냅니다. strict-origin-when-cross-origin: 동일한 원본 요청을 수행할 때 원본, 경로 및 쿼리 문자열을 보냅니다. 교차 원본 요청의 경우 프로토콜 보안 수준이 동일하게 유지되는 경우에만 원본을 보냅니다(HTTPS에서 HTTPS로). 리퍼러 헤더를 덜 안전한 대상(HTTPS에서 HTTP로)으로 보내지 않습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    문자열

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    기본값

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 간단한 설명
  • (이전)

    iframe 간의 교차 원본 통신에 URL 허용 목록 사용

  • (신규)

    iframe 간의 교차 원본 통신에 허용되는 도메인 제한

• 설명
  • (기존) <공백>
  • (신규)

    glide.ui.concourse.onmessage_enforce_same_origin 속성을 사용하여 신뢰할 수 없는 도메인의 교차 원본 통신을 방지합니다. 권장 값인 예로 설정하지 않으면 교차 원본 메시징에 대한 확인이 수행되지 않습니다. true로 설정하면 glide.ui.concourse.onmessage_enforce_same_origin_whitelist 시스템 속성에 나열된 도메인이 UI에서 메시지를 전파할 수 있습니다. 사용

    허용되는 도메인을 제어하는 glide.ui.concourse.onmessage_enforce_same_origin_whitelist입니다.

• 정정
  • (이전)

    "glide.ui.concourse.onmessage_enforce_same_origin" 속성이 "예"로 설정되어 있는지 확인합니다.

  • (신규)

    glide.ui.concourse.onmessage_enforce_same_origin 속성이 시스템 속성 [sys_properties] 테이블에 있고 true로 설정되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    웹 페이지의 이벤트 핸들러가 적절한 원본 확인을 수행하지 않으면 원본의 다른 웹 페이지 또는 스크립트가 웹 페이지와 통신할 수 있습니다. 이러한 페이지 또는 스크립트는 이벤트 핸들러에서 수행하는 모든 기능을 시작할 수도 있습니다. 이 속성을 사용하면 잠재적으로 신뢰할 수 없는 외부 도메인이 ServiceNow 인스턴스에 메시지를 보낼 수 있으므로 데이터 도난 또는 UI 조작과 같은 교차 원본 공격의 위험이 증가합니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    glide.ui.concourse.onmessage_enforce_same_origin_whitelist 시스템 속성의 포함 목록에 원하는 도메인을 추가하지 않으면 해당 도메인의 교차 원본 메시지가 허용되지 않습니다.

• 데이터 유형
  • (기존) <공백>
  • (신규)

    부울

• 바로 사용 가능 값
  • (기존) <공백>
  • (신규)

    예

• 폴백 값
  • (이전)

    예

  • (신규)

    아니오

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.

• 간단한 설명
  • (이전)

    최소 암호 길이 설정

  • (신규)

    최소 및 최대 암호 길이 필요

• 설명
  • (이전)

    암호 정책을 사용하지 않고 최소 암호 길이를 12자 이상으로 적용하는 경우 사용자는 12자 미만의 암호를 만들 수 있습니다.

  • (신규)

    암호 정책은 사용자가 인스턴스에서 생성하는 암호에 대한 요구 사항을 정의합니다. 암호 길이는 NIST 800-63B 문서에서 허용하는 범위 내에 있어야 합니다.

• 정정
  • (이전)

    인스턴스에서 사용 중인 모든 암호 자격 증명 스토어에 대해 암호 정책이 적용되고 암호 정책에서 최소 암호 길이를 12자 이상으로 규정하는지 확인합니다. 사용된 모든 암호 자격 증명 스토어(pwd_cred_store 테이블)에 대해 기록에서 "암호 정책 사용"이 선택되어 있는지 확인합니다. 그런 다음 암호 자격 증명 스토어 기록 "암호 정책" 필드에서 참조되는 암호 정책(password_policy) 기록으로 이동합니다. "최소 암호 길이" 필드가 12 이상으로 설정되어 있는지 확인합니다. 암호 정책 구성에 대한 자세한 내용은 https://www.servicenow.com/docs/csh?topicname=enable-passwordpolicies.html&version=latest 설명서에서 확인할 수 있습니다.

  • (신규)

    1. 인스턴스에서 사용 중인 각 암호 자격 증명 스토어에 대해 암호 정책이 적용되고 있는지 확인합니다. a. 암호 재설정 자격 증명 스토어 [pwd_cred_store] 테이블의 각 암호 자격 증명 스토어 기록에 대해 암호 정책 사용 필드가 활성화되어 있는지 확인합니다. 2. 암호 정책에서 최소 암호 길이를 15자 이상, 최대 암호 길이를 64자 이상으로 규정하고 있는지 확인합니다. a. 기록의 암호 정책 필드에서 참조되는 암호 정책 [password_policy] 기록으로 이동합니다. 최소 암호 길이 필드가 15 이상으로 설정되어 있고 최대 암호 길이 필드가 64 이상으로 설정되어 있는지 확인합니다. 3. 암호 정책 구성에 대한 자세한 내용은 https://www.servicenow.com/docs/csh?topicname=enable-passwordpolicies.html&version=latest 설명서에서 확인할 수 있습니다.

• 보안 위험
  • (이전)

    속성을 12보다 작은 값으로 설정하면 규정 준수 문제가 발생할 수 있으며 공격자가 암호를 성공적으로 무차별 대입할 위험이 높아집니다.

  • (신규)

    너무 짧거나 길지 않은 암호를 허용하면 규정 준수 문제가 발생할 수 있으며 공격자가 암호를 성공적으로 무차별 대입할 위험이 높아집니다.

• 기능적 영향
  • (이전)

    기술적인 관점에서 인스턴스는 최소 암호 길이 12자로 인한 영향을 받지 않습니다.

  • (신규)

    인스턴스는 최소 암호 길이 15 또는 최대 암호 길이 64로 인한 영향을 받지 않습니다.

• 데이터 유형
  • (이전)

    정수

  • (신규)

    부울 및 정수

• 바로 사용 가능 값
  • (이전)

    8

  • (신규)

    - 암호 정책 [password_policy] 레코드의 최소 암호 길이는 기본적으로 8입니다. 암호 정책 [password_policy] 기록의 최대 암호 길이는 기본적으로 100입니다.

• 폴백 값
  • (이전)

    8

  • (신규)

    - 암호 정책 [password_policy] 레코드의 최소 암호 길이 폴백 값은 8입니다. 암호 정책 [password_policy] 기록에서 최대 암호 길이의 폴백 값은 100입니다.

규칙 스크립트

(신규) 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.