Paramètres de sécurisation renforcée mis à jour pour la version de base de référence 4.0

  • Rversion finale: Yokohama
  • Mis à jour 9 janv. 2026
  • 28 minutes de lecture

    • Certains paramètres de sécurisation renforcée ont été mis à jour avec la sortie de la version de base de Centre de sécurité référence 4.0.

    La version de base de référence 4.0 inclut plusieurs mises à jour des brèves descriptions pour le style et la cohérence entre les enregistrements. En outre, de nombreux scripts liés aux propriétés ont également été mis à jour afin d’améliorer la précision de la valeur par défaut pour les tickets où la propriété a été supprimée de la table sys_property.

    Documentation Mises à jour
    Exiger une autorisation pour les demandes SOAP [Mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0]
    • Nouveau nom de la configuration technique : glide.basicauth.required.soap, glide.soap.require_ws_security
    • Ancien nom de la configuration technique : glide.basicauth.required.soap
    • Nouvelle description : la propriété glide.basicauth.required.soap Glide contrôle si l’authentification de base est requise pour effectuer une demande SOAP à une instance. Si glide.basicauth.required.soap cette option n’est pas définie sur la valeur conseillée, vrai, les utilisateurs non authentifiés qui effectuent des opérations SOAP sont mappés à l’utilisateur soap.guest. Cela peut permettre à un utilisateur non authentifié d’effectuer des opérations sur l’instance comme s’il s’agissait d’un utilisateur connecté à l’instance. Il peut y avoir un impact supplémentaire si l’utilisateur défini dans com.glide.soap.guest_user se voit attribuer des rôles supplémentaires.
    • Ancienne description : la propriété glide.basicauth.required.soap Glide contrôle si une authentification est requise pour effectuer une demande SOAP à une instance. Si glide.basicauth.required.soap la valeur recommandée n’est pas définie sur vrai, l’authentification est désactivée pour les demandes SOAP sur l’instance. Il permet un accès non authentifié aux opérations de niveau administrateur ou de maintenance ; annulant ainsi les contrôles de sécurité au sein de l’instance.
    • Nouvelle correction : assurez-vous que la propriété glide.basicauth.required.soap est définie sur la valeur vrai. Vous pouvez également configurer l’instance pour la sécurité WS en définissant la propriété glide.soap.require_ws_security sur vrai et en suivant la documentation du produit pour configurer les profils de sécurité WS.
    • Ancien rattrapage : assurez-vous que la propriété glide.basicauth.required.soap existe dans la table sys_properties et qu’elle est définie sur vrai.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Script Jelly d’échappement [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description : cette propriété échappe toutes les chaînes JS et HTML incluses avant qu’elles ne soient écrites dans le flux de sortie, empêchant ainsi plusieurs problèmes XSS de se produire. Si glide.ui.escape_all_script n’est pas défini sur la valeur recommandée true, l’échappement des scripts injectés dans Jelly est désactivé. Sans cette atténuation, la plateforme devient largement ouverte à une variété d’attaques par injection de script. Un attaquant pourrait exécuter des scripts Rhino arbitraires sur l’instance.
    • Ancienne description : La propriété suivante échappe à toutes les chaînes JS et HTML incluses dans <j :jelly> ... </j :jelly> avant qu’ils ne soient écrits dans le flux de sortie, ce qui évite que plusieurs problèmes XSS ne se produisent. Si glide.ui.escape_all_script n’est pas défini sur la valeur recommandée « vrai », l’échappement des scripts injectés dans Jelly est désactivé. Sans cette atténuation, la plateforme devient largement ouverte à une variété d’attaques par injection de script. Un attaquant pourrait exécuter des scripts Rhino arbitraires sur l’instance.
    Empêcher les utilisateurs d’accepter l’avertissement pour contourner la validation CSRF [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description brève : Empêcher les utilisateurs d’accepter l’avertissement pour contourner la validation CSRF
    • Ancienne description brève : Appliquer la validation stricte du jeton CSRF
    • Nouvelle description : cette propriété empêche les utilisateurs d’accepter un avertissement qui permet d’envoyer une demande potentiellement malveillante à l’instance. Cet avertissement s’affiche lorsqu’une requête POST échoue en raison d’un jeton anti-CSRF qui ne correspond pas et qui appartient à l’une des autres sessions actives de la victime. S’il glide.security.csrf.strict.validation.mode n’est pas défini sur la valeur recommandée true, un attaquant peut formuler une attaque CSRF en utilisant un jeton anti-CSRF d’une autre session active appartenant à la victime. Une demande POST à une instance contient un jeton anti-CSRF dans sysparm_ck ou X-UserToken qui correspond à la session actuelle de l’utilisateur. Si le jeton anti-CSRF est plutôt lié à l’une des autres sessions actives de l’utilisateur, la demande POST renvoie une redirection 302 vers security_interceptor.do avec un bouton Continuer disponible pour l’utilisateur lorsque cette propriété est définie sur faux. Cliquer sur ce bouton soumet à nouveau la demande à l’instance, sauf qu’elle dispose désormais d’un jeton anti-CSRF valide. Lorsque cette propriété est définie sur vrai, la redirection 302 vers la page security_interceptor.do n’affiche pas de bouton Continuer et l’utilisateur n’est pas autorisé à soumettre à nouveau la demande. Une attaque CSRF réussie permettra à un attaquant d’effectuer efficacement n’importe quelle opération que la victime est capable d’effectuer.
    • Ancienne description : cette propriété active la validation stricte des jetons CSRF, ce qui empêche la réutilisation des jetons CSRF. Si glide.security.csrf.strict.validation.mode la valeur recommandée n’est pas définie sur vrai, les jetons CSRF peuvent être réutilisés, ce qui ouvre la porte à des attaques CSRF.
    • Nouveau score CVSS : 3,7
    • Ancien score CVSS : 3,1
    Exiger l’authentification sur le processeur HTTP de Gestion des événements [nouveau dans Security Center 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0]
    • Nouvelle description brève : Exiger l’authentification sur le processeur HTTP de Gestion des événements
    • Ancienne description brève : Exiger l’authentification sur le processeur HTTP de Gestion des événements
    Activer le jeton anti-CSRF [nouveau dans Security Center 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0]
    • Nouvelle description : la contrefaçon de requête intersite (CSRF) est une attaque qui force les utilisateurs authentifiés à soumettre une demande à une application Web par rapport à laquelle ils sont actuellement authentifiés. Les attaques CSRF exploitent la confiance qu’une application Web accorde à un utilisateur authentifié. Cette propriété permet l’utilisation d’un jeton de sécurité pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête intersite. Si glide.security.use_csrf_token la valeur recommandée n’est pas définie sur true, CSRF est possible.
    • Ancienne description : La contrefaçon de requête intersite (CSRF) est une attaque qui force les utilisateurs authentifiés à soumettre une demande à une application Web par rapport à laquelle ils sont actuellement authentifiés. Les attaques CSRF exploitent la confiance qu’une application Web accorde à un utilisateur authentifié. Cette propriété permet l’utilisation d’un jeton de sécurité pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête intersite. Si glide.security.use_csrf_token la valeur recommandée n’est pas définie sur true, CSRF est possible.
    Activer l’assainisseur HTML dans Agent virtuel [Mise à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description brève : Activer l’assainisseur HTML dans Agent virtuel
    • Ancienne description brève : Activer l’assainisseur HTML
    • Nouvelle description : cette propriété contrôle si HtmlSanitizerService est activé. Si com.glide.cs.html.sanitizer.enabled la valeur n’est pas définie sur vrai, une attaque de script de site à site stocké (XSS) est possible dans le client Web VA.
    • Ancienne description : Cette propriété contrôle si HTMLSanitezerService est activé. Si com.glide.cs.html.sanitizer.enabled la valeur n’est pas définie sur vrai, une attaque de script de site à site stocké (XSS) est possible dans le client Web VA.
    Refuser l’accès interne aux rôles externes explicites [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouveau nom de la configuration technique : glide.security.explicit_roles.enable_internal_user_blacklist
    • Ancien nom de la configuration technique : glide.security.explicit_roles.enable_internal_user_blacklist,glide.security.explicit_roles.internal_user_blacklist
    • Nouvelle description : cette propriété empêche d’affecter le rôle de snc_internal à des utilisateurs externes. Quand glide.security.explicit_roles.enable_internal_user_blacklist est défini sur la valeur recommandée true, il applique les paramètres de maint-protected glide.security.explicit_roles.internal_user_blacklist property qui affecte le rôle snc_external à une liste de classes d’utilisateurs non approuvés. Si la valeur est définie sur faux, la glide.security.explicit_roles.internal_user_blacklist propriété est ignorée. Une mauvaise configuration de cette propriété augmente le risque qu’un compte d’utilisateur externe accède à des informations internes.
    • Ancienne description : cela empêche d’affecter le rôle de snc_internal à des utilisateurs externes. Si glide.security.explicit_roles.enable_internal_user_blacklist la propriété n’est pas définie sur la valeur conseillée vrai et que la glide.security.explicit_roles.internal_user_blacklist propriété n’est pas définie sur une liste de classes d’utilisateurs non approuvées, les rôles spécifiés peuvent se voir affecter le rôle snc_internal au lieu du rôle snc_external. Si la liste est vide, tous les utilisateurs se verront attribuer le rôle snc_internal par défaut. La propriété doit contenir au moins les rôles par défaut csm_consumer_user, customer_contact.

      Une mauvaise configuration de ces propriétés augmente le risque qu’un compte d’utilisateur externe accède aux informations internes.

    • Nouvelle correction : assurez-vous que la propriété glide.security.explicit_roles.enable_internal_user_blacklist est définie sur true.
    • Ancien rattrapage : assurez-vous que la propriété glide.security.explicit_roles.enable_internal_user_blacklist est définie sur vrai et que la propriété glide.security.explicit_roles.internal_user_blacklist inclut les éléments dangereux csm_consumer_user, customer_contact.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Exiger une autorisation pour la demande WSDL [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description : si glide.basicauth.required.wsdl la valeur n’est pas définie sur la valeur conseillée, vrai, l’authentification de base pour les demandes WSDL est alors désactivée. WSDL est un protocole utilisé pour décrire les services Web tels que les schémas de table d’instance, et n’est pas un mécanisme de partage des données au sein de tables. Définir cette propriété sur vrai permet la divulgation des schémas de table aux utilisateurs non authentifiés.
    • Ancienne description : si glide.basicauth.required.wsdl la valeur recommandée est vrai, l’authentification de base pour les demandes WSDL est alors désactivée. Cela pourrait entraîner la divulgation d’informations à des utilisateurs non authentifiés.
    • Nouveau score CVSS : 5,3
    • Ancien score CVSS : 4,3
    Appliquer la vérification de la liste d’autorisations d’URL [Mis à jour dans le Centre de sécurité 1.3, 1.5 et 2.0] Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Définir les types MIME téléchargeables restreints [Mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0]
    • Nouvelle description brève : Définir les types MIME téléchargeables restreints
    • Ancienne description brève : Restreindre les types MIME téléchargeables
    • Nouvelle description : si glide.ui.attachment.download_mime_types elle contient des éléments dangereux tels que text/html, image/svg, image/svg+xml, application/xml, les fichiers dangereux peuvent être affichés en ligne dans le navigateur, ce qui peut entraîner des attaques de script Cross Sitte (XSS). Cette propriété correspond à la liste des types MIME de pièce jointe séparés par des virgules qui ne seront pas affichés en ligne dans le navigateur. Par exemple, l’inclusion de text/html forcera le téléchargement des fichiers HTML vers le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur. La gestion correcte de cette liste évite les attaques de script de site à site.
    • Ancienne description : si glide.ui.attachment.download_mime_types elle contient des éléments dangereux tels que text/html, image/svg, image/svg+xml, application/xml, les fichiers dangereux peuvent être affichés en ligne dans le navigateur, ce qui peut entraîner des attaques de script Cross Sitte (XSS). Cette propriété correspond à la liste des types MIME de pièce jointe séparés par des virgules qui ne seront pas affichés en ligne dans le navigateur. Par exemple, l’inclusion de text/html forcera le téléchargement des fichiers html vers le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur. La gestion correcte de cette liste évite les attaques de script de site à site.
    HTML d’échappement dans les vues de listes [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description : cette propriété permet de nettoyer l’affichage en vue liste des champs HTML. Si glide.ui.escape_html_list_field la valeur n’est pas définie sur la valeur conseillée vrai, un utilisateur malveillant peut injecter du code HTML dans le champ de formulaire pour exécuter des scripts indésirables sur différentes sessions client/utilisateur. Cela pourrait potentiellement être exploité par des attaquants pour voler des informations de session et des données sensibles.
    • Ancienne description : La propriété suivante permet de nettoyer l’affichage en vue liste des champs HTML. Si glide.ui.escape_html_list_field la valeur n’est pas définie sur la valeur conseillée vrai, un utilisateur malveillant peut injecter du code HTML dans le champ de formulaire pour exécuter des scripts indésirables sur différentes sessions client/utilisateur. Cela pourrait potentiellement être exploité par des attaquants pour voler des informations de session et des données sensibles.
    Restreindre les domaines de messagerie pour l’inscription des utilisateurs externes [Mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0]
    • Nouvelle description brève : Restreindre les domaines d’e-mail pour l’inscription des utilisateurs externes
    • Ancienne description brève : Restreindre les domaines d’e-mail pour l’inscription des utilisateurs externes (Applicabilité du module d’extension : inscription de l’utilisateur externe)
    • Nouvelle description : la sn_ext_usr_reg.allowed_email_domains propriété définit les adresses e-mail autorisées à s’auto-enregistrer sur une instance ServiceNow. S’il sn_ext_usr_reg.allowed_email_domains n’est pas défini avec une liste de domaines acceptables, les utilisateurs avec n’importe quelle adresse e-mail sont autorisés à enregistrer des comptes sur les instances. Si cette propriété n’est pas définie, les acteurs malveillants peuvent effectuer l’enregistrement à l’aide d’adresses e-mail de domaines indésirables pour obtenir un accès authentifié à l’instance.
    • Ancienne description : S’il sn_ext_usr_reg.allowed_email_domains n’est pas défini avec une liste blanche de domaines acceptables, des acteurs malveillants peuvent effectuer l’enregistrement en utilisant des adresses e-mail de domaines indésirables.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Activer le Captcha pour l’inscription de l’utilisateur externe [mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description brève : Activer le Captcha pour l’inscription de l’utilisateur externe
    • Ancienne description brève : Activer le Captcha pour l’inscription de l’utilisateur externe (Applicabilité du module d’extension : inscription de l’utilisateur externe)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection
    Minimiser la durée d’expiration du lien d’inscription de l’utilisateur externe [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description brève : Minimiser la durée d’expiration du lien d’Inscription de l’utilisateur externe
    • Ancienne description brève : Minimiser la durée d’expiration du lien d’Inscription de l’utilisateur externe (Applicabilité du module d’extension : inscription de l’utilisateur externe)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection
    Désactiver le téléchargement des fichiers infectés [Mis à jour dans Security Center 1.5 et 2.0]
    • Nouvelle description brève : Désactiver le téléchargement des fichiers infectés
    • Ancienne description brève : Interdire le téléchargement des fichiers infectés
    • Nouvelle correction : assurez-vous que la propriété com.glide.snap.infected_download_allowed est définie sur False.
    • Ancien rattrapage : assurez-vous que la propriété com.glide.snap.infected_download_allowed est définie sur Vrai.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Valider le type MIME de fichier dans AttachmentCreator SOAP Web Service [Nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description : si glide.attachment.enforce_security_validation la valeur n’est pas définie sur la valeur conseillée Vrai, il n’y aura aucune validation pour les pièces jointes de type MIME et des fichiers dangereux pourraient être téléchargés sur le système en utilisant des extensions de fichier incorrectes. Lorsque cette propriété est définie sur vrai, les fichiers sont chargés avec l’extension de type de fichier correcte. Une bonne pratique de sécurité consiste à valider les chargements de fichiers au moins avec la validation de type MIME.
    • Ancienne description : si glide.attachment.enforce_security_validation n’est pas défini sur la valeur recommandée Vrai, il n’y aura aucune validation pour les pièces jointes de type MIME et des fichiers dangereux pourraient être téléchargés sur le système en utilisant des extensions de fichier incorrectes. Lorsque cette propriété est définie sur vrai, les fichiers sont chargés avec l’extension de type de fichier correcte. Une bonne pratique de sécurité consiste à valider les chargements de fichiers au moins avec la validation de type MIME.
    • Nouvelle correction : assurez-vous que la propriété glide.attachment.enforce_security_validation est définie sur true.
    • Ancien rattrapage : assurez-vous que la propriété glide.attachment.enforce_security_validation est définie sur Vrai.
    Désactiver le débogage MultiSSO [mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description brève : Désactiver le débogage MultiSSO
    • Ancienne description brève : Désactiver le débogage MultiSSO (Applicabilité du module d’extension : Authentification unique de plusieurs fournisseurs)
    Définir les adresses IP internes autorisées ServiceNow [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouveau nom de la configuration technique : glide.ip.authenticate.strict
    • Ancien nom de la configuration technique : glide.ip.authenticate.strict,glide.ip.authenticate.allow.secured
    • Nouvelle description : si glide.ip.authenticate.strict la valeur est définie sur vrai, le personnel et les systèmes internes de ServiceNow ne peuvent établir des connexions entrantes à l’instance qu’à partir des plages IP essentielles. Cela limite la visibilité de ServiceNow sur l’instance pour l’infrastructure interne essentielle et empêche l’accès par un personnel ServiceNow plus large, comme le personnel de support et de vente, via les réseaux de l’entreprise. Lorsqu’elle est définie sur « vrai », la glide.ip.authenticate.allow propriété est utilisée pour accorder les connexions entrantes ServiceNow internes. Si la valeur n’est pas définie sur true, une plage d’adresses IP internes ServiceNow plus large, telle que définie dans glide.ip.authenticate.allow est utilisée pour accorder les connexions entrantes ServiceNow internes.
    • Ancienne description : si glide.ip.authenticate.strict la valeur est définie sur vrai, seules les plages IP spécifiées dans glide.ip.authenticate.allow.secured peuvent établir des connexions entrantes à l’instance. Cette propriété contient uniquement une liste des plages d’adresses IP internes ServiceNow essentielles (VPN sécurisé, DC). Si glide.ip.authenticate.allow.secured n’est pas défini sur la valeur ou la permutation recommandée de « 10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1 » ou la liste de valeurs plus récente « 10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:1, ::1 » qui ajoute IPv6 localhost à l’Utah, il peut alors permettre à des sources non fiables en dehors du centre de données SN et du VPN sécurisé d’accéder à des sources sensibles en dehors du centre de données SN et du VPN sécurisé Surveillance des points de terminaison sur les instances.
    • Nouveau rattrapage : assurez-vous que la propriété glide.ip.authenticate.allow.secured contient uniquement des valeurs fiables et que la propriété glide.ip.authenticate.strict est définie sur vrai.
    • Ancien rattrapage : assurez-vous que la propriété glide.ip.authenticate.allow.secured contient uniquement des valeurs dans « 10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1, ::1 » et que la propriété glide.ip.authenticate.strict est définie sur vrai.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Désactiver l’expansion des entités dans l’analyseur de diffusion en continu XMLDocument2 [Mis à jour dans Centre de sécurité 1.5]
    • Nouvelle description brève : Désactiver l’expansion des entités dans l’analyseur de diffusion en continu XMLDocument2
    • Ancienne description brève : Désactiver l’expansion des entités
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Appliquer Séparation de domaine sur les champs de type « remontée pas à pas » [Mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0]
    • Nouvelle description brève : Appliquer Séparation en domaines sur les champs de type « remontée pas à pas »
    • Ancienne description brève : Appliquer Séparation en domaines sur les champs de type « remontée pas à pas » (Applicabilité du module d’extension : Séparation en domaines)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Restreindre les autorisations pour le modèle CMDB [Mis à jour dans Centre de sécurité 1.3 et 1.5] Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Exiger l’effacement du presse-papiers lors de l’affichage l’application mobile en arrière-plan [Nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description : la glide.sg.clear_pasteboard_when_backgrounded propriété contrôle si le texte copié à partir de l’application mobile ServiceNow est conservé dans le presse-papiers une fois que l’application est en mode arrière-plan. Si elle n’est pas définie sur la valeur conseillée true, les informations sensibles peuvent être divulguées au presse-papiers Android ou iOS, où elles peuvent être exposées à d’autres applications sur l’appareil.
    • Ancienne description : la propriété glide.sg.clear_pasteboard_when_backgrounded contrôle si le texte copié à partir de l’application mobile ServiceNow est conservé dans le presse-papiers une fois que l’application n’est plus active. Si elle n’est pas définie sur la valeur conseillée true, les informations sensibles peuvent être divulguées au presse-papiers Android ou iOS, où elles peuvent être exposées à d’autres applications sur l’appareil.
    Activer la récupération de compte [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description brève : Activer la récupération de compte
    • Ancienne description brève : Activer la récupération de compte (Applicabilité du module d’extension : Authentification unique de plusieurs fournisseurs)
    Désactiver les messages d’erreur SQL [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description : si glide.db.loguser la valeur n’est pas définie sur la valeur conseillée, faux, des messages d’erreur sensibles côté serveur peuvent être affichés aux utilisateurs finaux. Les messages d’erreur peuvent inclure des traces de pile et des informations sur la structure de la base de données qui pourraient fournir à un attaquant les connaissances nécessaires pour effectuer une injection SQL réussie si les conditions préalables sont réunies. Dans le cadre d’une défense en profondeur, ces messages d’erreur ne doivent pas être affichés à l’utilisateur final.
    • Ancienne description : si glide.db.loguser la propriété n’est pas définie sur la valeur conseillée, faux, des messages d’erreur sensibles côté serveur peuvent être affichés aux utilisateurs finaux.
    Renforcer les liens relatifs [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description : la glide.cms.catalog_uri_relative propriété applique les liens relatifs à partir du paramètre URI sur /ess/catalog.do. Si glide.cms.catalog_uri_relative la valeur recommandée n’est pas définie sur true, l’URL n’est pas assainie avec la fonction enforceRelativeURL(url). Les URL absolues peuvent présenter un risque de sécurité lorsqu’elles sont utilisées dans le cadre d’un paramètre ou d’une valeur de champ, redirigeant ainsi la page source vers un site Web contrôlé par un adversaire. Cette propriété impacte l’ancien système de gestion du contenu (CMS) qui a été remplacé par Portail de services.
    • Ancienne description : la glide.cms.catalog_uri_relative propriété applique les liens relatifs à partir du paramètre URI sur /ess/catalog.do. Si glide.cms.catalog_uri_relative la valeur recommandée n’est pas définie sur true, l’URL n’est pas assainie avec la fonction enforceRelativeURL(url). Les URL absolues peuvent présenter un risque de sécurité lorsqu’elles sont utilisées dans le cadre d’un paramètre ou d’une valeur de champ, redirigeant ainsi la page source vers un site Web contrôlé par un adversaire.
    Minimiser le seuil d’expansion des entités pour GlideXMLUtil pouvant contenir des scripts [mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0]
    • Nouvelle description brève : Minimiser le seuil d’expansion des entités pour GlideXMLUtil pouvant contenir des scripts
    • Ancienne description brève : Minimiser le seuil d’expansion des entités
    • Nouvelle description : cette propriété contrôle la quantité maximale d’expansion d’entité dans un analyseur XML. Si glide.xmlutil.max_entity_expansion elle n’est pas définie sur la valeur conseillée de 3 000 ou moins, le script d’analyse GlideXMLUtil peut être vulnérable aux attaques par déni de service.
    • Ancienne description : cette propriété contrôle la quantité maximale d’expansion d’entité dans un analyseur XML. S’il glide.xmlutil.max_entity_expansion n’est pas défini sur la valeur recommandée de 3 000 ou moins, l’analyseur XML peut être vulnérable aux attaques par déni de service.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Désactiver le comportement hérité de clôture du champ d’application GlideRecord [Nouveau dans Security Center 1.3 et mis à jour dans les versions 1.5 et 2.0]
    • Nouvelle description : GlideRecord a fourni un accès de création/mise à jour entre périmètres à des tables qui n’ont pas été configurées avec ce niveau d’accès. Afin d’éviter que les applications des clients ne soient interrompues lorsque ce comportement d’accès inclus dans le périmètre est corrigé, la propriété glide.record.legacy_cross_scope_access_policy_in_script a été créée. Si la valeur est vrai, l’accès entre périmètres revient au comportement hérité (non sécurisé). Cette propriété désactive la séparation des périmètres, ce qui permet aux applications incluses dans le périmètre d’accéder aux interfaces de script globales. Il est préférable de mettre en place des restrictions de clôture de portée. La définition du champ d’application garantit que les applications ne peuvent accéder aux ressources qu’avec un accès explicite ou dans leur champ d’application, conformément au principe du moindre privilège. La désactivation de cette fonctionnalité peut entraîner des impacts sur la confidentialité, la disponibilité et l’intégrité.
    • Ancienne description : Le comportement hérité fournissait un accès en création/mise à jour aux tables qui ne le permettait pas. Afin d’éviter que les applications des clients hérités ne soient interrompues lors de la correction de ce comportement d’accès inclus dans le champ d’application, la propriété glide.record.legacy_cross_scope_access_policy_in_script a été créée. Si la valeur est vrai, l’accès entre périmètres revient au comportement hérité (non sécurisé). Cette propriété désactive la séparation des périmètres, ce qui permet aux applications incluses dans le périmètre d’accéder aux interfaces de script globales. Il est préférable de mettre en place des restrictions de clôture de portée. La définition du champ d’application garantit que les applications ne peuvent accéder aux ressources qu’avec un accès explicite ou dans leur champ d’application, conformément au principe du moindre privilège. La désactivation de cette fonctionnalité peut entraîner des impacts sur la confidentialité, la disponibilité et l’intégrité.
    Activer la version mise à jour du module d’extension MultiSSO [mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description brève : Activer la version actualisée du module d’extension Multi SSO
    • Ancienne description brève : Activer la version actualisée du module d’extension Multi SSO (Applicabilité du module d’extension : authentification unique de plusieurs fournisseurs)
    Activer SSL dans l’authentification LDAP [Mis à jour dans Centre de sécurité 1.5 et 2.0] Le script a été mis à jour pour améliorer la précision de détection.
    Appliquer la réinitialisation du mot de passe aux demandes d’API [Mis à jour dans Centre de sécurité 1.5] Le script a été mis à jour pour améliorer la précision de détection.
    Ne pas appliquer la politique de mot de passe lors de la connexion [Mis à jour dans Centre de sécurité 1.5 et supprimé dans la version 2.0]

    • Nouvelle description : en définissant la propriété glide.apply.password_policy.on_login sur Faux, il n’y aura pas d’application de la complexité du mot de passe au moment de la connexion. Définir la propriété sur Vrai renforce la complexité du mot de passe et entraîne des problèmes de conformité à la politique de l’organisation.

      Selon les recommandations de l’ASVS 4.03 v2.1.9 :

      Vérifiez qu’il n’existe aucune règle de composition de mot de passe limitant le type de caractères autorisés. Il ne devrait pas y avoir d’exigence de majuscules ou de minuscules ou de chiffres ou de caractères spéciaux. (C6)

      Au lieu d’appliquer la complexité du mot de passe, l’ASVS recommande d’appliquer une longueur minimale de 12 caractères pour la longueur du mot de passe.

      Réf : authentification OWASP ASVS v4.0

    • Ancienne description :

      Si vous définissez la propriété glide.apply.password_policy.on_login sur Faux, aucune application de complexité de mot de passe n’est exécutée au moment de la connexion. Définir la propriété sur Vrai renforce la complexité du mot de passe et entraîne des problèmes de conformité à la politique de l’organisation.

      Selon les recommandations de l’ASVS 4.03 v2.1.9 :

      Vérifiez qu’il n’existe aucune règle de composition de mot de passe limitant le type de caractères autorisés. Il ne devrait pas y avoir d’exigence de majuscules ou de minuscules ou de chiffres ou de caractères spéciaux. (C6)

      Au lieu d’appliquer la complexité du mot de passe, l’ASVS recommande d’appliquer une longueur minimale de 12 caractères pour la longueur du mot de passe.

      Réf : authentification OWASP ASVS v4.0
    N’utilisez pas de certificats de démonstration pour les configurations SAML actives [Mis à jour dans Centre de sécurité 1.5]
    • Nouvelle description brève : Ne pas utiliser de certificats de démonstration pour les configurations SAML actives
    • Ancienne description brève : Ne pas utiliser de certificats de démonstration pour les configurations SAML actives (Applicabilité du module d’extension : authentification unique de plusieurs fournisseurs)
    Minimiser la durée de contrainte SAML notBefore ou notOnOrAfter [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description brève : Minimiser la durée de contrainte SAML « notBefore » ou « notOnOrAfter »
    • Ancienne description brève : Minimiser la durée de contrainte SAML « notBefore » ou « notOnOrAfter » (Applicabilité du module d’extension : authentification unique de plusieurs fournisseurs)
    Bloquer les jetons anti-CSRF expirés [Mis à jour dans Centre de sécurité 1.5]
    • Nouvelle description brève : Bloquer les jetons anti-CSRF expirés
    • Ancienne description brève : Bloquer les jetons CSRF expirés
    Exiger un captcha pour l’expérience de visite d’un invité dans l’application Service clientèle [nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description brève : Exiger un Captcha pour l’expérience de visite d’un invité dans l’application Service clientèle
    • Ancienne description brève : Exiger un Captcha pour l’expérience de visite d’un invité dans l’application Service clientèle (Applicabilité du module d’extension : Expérience de visite des invités pour Service clientèle)
    Vérifier l’emprunt d’identité dans l’évaluation ACL de l’application RH [nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description brève : vérifier l’emprunt d’identité dans l’évaluation ACL de l’application RH
    • Ancienne description brève : Vérifier l’emprunt d’identité dans l’évaluation ACL de l’application RH (Applicabilité du module d’extension : Application dans le champ d’application de Ressources humaines)
    Restreindre les mises à jour des tickets RH à partir d’e-mails personnels [Nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description brève : Restreindre les mises à jour des tickets RH à partir d’e-mails personnels
    • Ancienne description brève : Restreindre les mises à jour des tickets RH à partir d’e-mails personnels (Applicabilité du module d’extension : Application Ressources humaines incluse dans le périmètre)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Activer le journal d’audit MID [nouveau dans Security Center 1.3 et mis à jour dans 1.5]
    • Nouvelle description brève : Activer le journal d’audit MID
    • Ancienne description brève : Activer le journal d’audit MID (Applicabilité du module d’extension : Serveur MID)
    Appliquer l’utilisation d’alias d’informations d’identification [Nouveau dans Security Center 1.3 et mis à jour dans 1.5]
    • Nouvelle description brève : Appliquer l’utilisation d’alias d’informations d’identification
    • Ancienne description brève : Appliquer l’utilisation d’alias d’informations d’identification (Applicabilité du module d’extension : Serveur MID)
    Instanciateurs de connexions JMS requis [Nouveau dans Security Center 1.3 et mis à jour dans les versions 1.5 et 2.0]
    • Nouvelle description brève : Instanciateurs de connexions JMS requis
    • Ancienne description brève : Instanciateurs de connexions JMS requis (Applicabilité du module d’extension : Serveur MID)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Limiter la taille des pièces jointes dans les flux de formation et de prédiction [nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description brève : Limiter la taille des pièces jointes dans les flux de formation et de prédiction
    • Ancienne description brève : Limiter la taille des pièces jointes dans les flux de formation et de prédiction (Applicabilité du module d’extension : Intelligence documentaire de la plateforme)
    Assurez-vous que les ACL de table d’archivage sont vérifiées [Nouveau dans Security Center 1.3 et mis à jour dans 1.5] Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Consigner les événements d’audit de session [nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description : lorsque la propriété glide.authenticate.session_access.log_audit_event Glide est définie sur vrai, les événements d’audit de session sont créés dans la table sys_session_access_audit. Il est recommandé de consigner des informations sur l’accès à une session pour faciliter les enquêtes sur les acteurs malveillants. Les informations enregistrées comprennent l’utilisateur, l’ID de session (non sensible), l’adresse IP, les rôles et les politiques.
    • Ancienne description : lorsque la propriété glide.authenticate.session_access.log_audit_event Glide est définie sur vrai, les événements d’audit de session sont créés dans la table sys_session_access_audit. Il est recommandé de consigner des informations générales sur l’accès à la session pour faciliter les enquêtes sur les acteurs malveillants. Les informations enregistrées comprennent l’utilisateur, l’ID de session (non sensible), l’adresse IP, les rôles et les politiques.
    Appliquer l’accès ACL inclus dans le champ d’application pour les playbooks de demande d’informations [Nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description brève : Appliquer l’accès ACL inclus dans le champ d’application pour les Information Request Playbooks
    • Ancienne description brève : Appliquer l’accès ACL inclus dans le champ d’application pour les Information Request Playbooks
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Invalider de manière proactive les sessions inactives [nouveau dans Security Center 1.3 et mis à jour dans les versions 1.5 et 2.0]
    • Nouvelle description : la propriété glide.active.session.timeout.invalidate.session Glide contrôle si une session expirée est invalidée de manière proactive avant que le conteneur Tomcat n’invalide la session. Lorsque cette propriété n’est pas définie sur vrai, il peut y avoir un petit intervalle de temps où une session expirée n’est pas invalidée (60+ secondes, selon la taille de la file d’attente). Si une session est détournée, un attaquant peut être en mesure d’utiliser une session pendant cette courte période.
    • Ancienne description : la propriété glide.active.session.timeout.invalidate.session Glide contrôle si une session de délai d’expiration est invalidée de manière proactive avant le conteneur Tomcat. Lorsque cette propriété n’est pas définie sur vrai, il peut y avoir un petit intervalle de temps où une session expirée n’est pas invalidée (60+ secondes, selon la taille de la file d’attente). Si une session est détournée, un attaquant peut être en mesure d’utiliser une session pendant cette courte période.
    Limiter la taille du corps de la réponse HTTP [nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description brève : Limiter la taille du corps de la réponse HTTP
    • Ancienne description brève : Vérifier que les réponses HTTP ne déclenchent pas d’exception outofMemory en raison de la taille du corps de la réponse