Vérifier les appels de package sur la liste d’autorisation (renforcement de la sécurité de l’instance)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Examinez et supprimez les entrées d’appels de package sur liste d’inclusion si besoin à partir de la table sys_whitelist_package.

    Les entrées d’appel en paquet ont accès aux ressources Java du côté serveur afin de réaliser des opérations basées sur les applications sans la validation appropriée. Étant donné qu’il peut entraîner la divulgation ou l’altération non autorisée des données des clients, il s’agit d’un grave problème de sécurité.

    En savoir plus

    Attribut Description
    Nom de la table sys_whitelist_package
    Remarque :
    Dans les versions récentes, seul Service et assistance client l’accès à cette table ; même les administrateurs ne sont pas en mesure de le faire.
    Type de configuration Table
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Pour examiner et supprimer des entrées de cette table.
    Valeur recommandée Aucun enregistrement ne doit exister dans la table (la liste doit être vide).
    Impact fonctionnel (Faible) Il ne devrait y avoir aucun impact tant que les résultats de l’exécution de l’outil de suppression des appels de packages sont examinés et approuvés.

    Pour garantir le bon fonctionnement de l’instance, testez les changements dans un environnement de non-production avant le déploiement dans l’environnement de production. Pour en savoir plus, consultez Outil de suppression d’appel de packages.
    Risque de sécurité Les appels d’API côté client (élevés) qui entraînent la récupération de données ou l’accès à des objets sur le serveur sont considérés comme dangereux du point de vue de la sécurité. Validez ces éléments pour l’autorisation et la restriction de l’accès aux objets sensibles.
    Solution de contournement Contactez ServiceNow l’assistance pour obtenir de l’aide.

    Étapes de configuration

    1. Activez le module d’extension Packages Call Removal Tool. Pour en savoir plus, reportez-vous à la section Outil de suppression des appels de packages.
    2. À l’aide du navigateur de filtre, accédez à l’utilitaire de suppression des appels de packages.
    3. Cliquez sur chaque script en commençant par (1) à (4). Attendez la sortie, puis passez à la suivante.
    4. Une fois que vous avez exécuté le script (4), une liste des champs concernés s’affiche sur la page Éléments d’appels de packages.
    5. Résolvez tous les éléments des sections Proposé et Erreur.
      Remarque :
      Cet outil peut signaler certains appels de packages utilisés dans sa_mapping_ext_commands et sa_custom_operation. Ces appels de package appartiennent au MID Server. Comme il n’existe aucune classe, le code s’exécute dans MID Server. Si vous trouvez les appels de packages suivants dans la section Erreurs, marquez-les comme Rejeté (Ignoré). L’outil ne signale plus cet appel de package.
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content) ;
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name) ;
      • Packages.com.snc.sw.commands.HttpCallHandler ;
      • Packages.com.snc.sw.dto.ProviderType.SSH
    6. Contactez ServiceNow l’assistance pour d’autres corrections.