• 설명:
  • (이전) "glide.authenticate.sso.saml2.enable_relay_state_with_id"이 "예"로 설정되면 릴레이 상태 매개변수에는 릴레이 상태 URL이 리디렉션될 테이블 기록의 시스템 ID multisso_request_parameter 포함됩니다. 이 릴레이 상태는 속성 glide.authenticate.sso.saml2.enable_relay_state_with_id이 아니오로 설정된 경우 일부 ServiceNow 인스턴스 버전에서 발생할 수 있는 SAML 재생 공격으로부터 보호합니다. 재생 공격을 통해 SAML 요청에 대한 액세스 권한을 얻은 공격자가 플랫폼에 무단으로 액세스하기 위해 유효한 요청을 다시 제출할 수 있습니다.
  • (신규) glide.authenticate.sso.saml2.enable_relay_state_with_id 시스템 속성을 사용하여 SAML 재생 공격으로부터 보호합니다. 이 속성이 true로 설정되면 릴레이 상태 매개변수에는 릴레이 상태 URL이 리디렉션되는 MultiSSO 요청 매개변수[multisso_request_parameter] 테이블의 기록 sys_id이 포함됩니다.

    시스템 속성 glide.authenticate.sso.saml2.enable_relay_state_with_id를 true로 설정합니다. 이렇게 하면 SAML 요청에 대한 액세스 권한을 얻은 공격자가 유효한 요청을 다시 제출하여 인스턴스에 액세스하지 못하도록 할 수 있습니다.

    이 시스템 속성이 활성화한 릴레이 상태는 재생 공격으로부터 인스턴스를 보호하는 데 도움이 됩니다. 이 속성을 활성화하면 SAML 요청에 대한 액세스 권한을 얻은 공격자가 유효한 요청을 다시 제출하여 인스턴스에 액세스하지 못하도록 할 수 있습니다.

• 정정:
  • (이전) 속성 glide.authenticate.sso.saml2.enable_relay_state_with_id를 true로 설정합니다.
  • (신규) 속성 glide.authenticate.sso.saml2.enable_relay_state_with_id를 true로 설정합니다. 속성이 시스템 속성 [sys_properties] 테이블에 없으면 기본값은 false입니다.
• 보안 위험:
  • (이전) 이 릴레이 상태는 속성 glide.authenticate.sso.saml2.enable_relay_state_with_id이 아니오로 설정된 경우 일부 ServiceNow 인스턴스 버전에서 발생할 수 있는 SAML 재생 공격으로부터 보호합니다. 재생 공격을 통해 SAML 요청에 대한 액세스 권한을 얻은 공격자가 플랫폼에 무단으로 액세스하기 위해 유효한 요청을 다시 제출할 수 있습니다.
  • (신규) 이 시스템 속성이 활성화한 릴레이 상태는 재생 공격으로부터 인스턴스를 보호하는 데 도움이 됩니다. 이 속성을 활성화하면 SAML 요청에 대한 액세스 권한을 얻은 공격자가 유효한 요청을 다시 제출하여 인스턴스에 액세스하지 못하도록 할 수 있습니다.
• 기능적 영향:
  • (이전) 이 속성을 예로 설정하면 SAML 요청의 릴레이 상태에 리디렉션할 릴레이 상태 URL을 포함하는 테이블 multisso_request_parameter의 기록 시스템 ID가 포함됩니다.
  • (신규) 이 속성이 예로 설정되면 SAML 요청의 릴레이 상태에는 리디렉션할 릴레이 상태 URL을 포함하는 MultiSSO 요청 매개변수[multisso_request_parameter] 테이블의 기록 sys_id이 포함됩니다.

• 기술 구성 이름
  • (기존) <공백>
  • (신규) glide.sso.acr.enabled,glide.authenticate.multisso.enabled
• 설명
  • (이전)

    ServiceNow 인스턴스 소유자는 인스턴스에 대한 사용자 계정을 프로비저닝하고 사용자가 예상대로 인스턴스에 액세스할 수 있도록 하는 책임을 집니다. 잠겨 있지 않은 사용자의 "sys_user.user_password" 필드에 유효한 암호 해시가 있는 경우 해당 사용자는 대화형 및 비대화형 액세스 유형 모두에 대해 로컬 데이터베이스 인증을 수행할 수 있습니다. 사용자가 SSO 인증을 사용하도록 구성되었으면 추가 제어 없이 로컬 데이터베이스 인증을 계속 수행할 수 있습니다. 따라서 유효한 로컬 자격 증명을 가진 SSO 사용자는 해당 로컬 자격 증명을 사용하여 인스턴스 또는 인스턴스의 일부에 액세스할 수 있습니다.

    사용자에 대해 SSO 인증을 사용하는 경우 해당 사용자가 로컬에서 로그인하지 못하도록 하는 것이 가장 좋습니다. 이렇게 하면 유효한 로컬 로그인 자격 증명이 도난당하여 악의적인 사용자가 로그인하는 데 사용할 가능성이 줄어듭니다.

  • (신규)

    SSO 인증을 사용하도록 구성된 사용자는 사용자 [sys_user] 기록의 user_password 필드에 저장된 로컬 자격 증명을 사용하여 인스턴스 또는 인스턴스의 일부에 액세스할 수 있습니다. 이 액세스는 잠김 상태가 아닌 사용자의 대화형 및 비대화형 액세스 모두에 적용됩니다. SSO로 구성된 사용자가 로컬 자격 증명을 사용하지 못하도록 하여 악의적인 사용자가 유효한 로컬 로그인 자격 증명을 도난당해 사용할 가능성을 줄일 수 있습니다.

    SSO가 활성화된 인스턴스에서 로컬 로그인이 여전히 활성화된 계정을 식별하고 주소를 지정하는 방법에 대한 지침은 Now Support 지식베이스 문서 KB1649420 검토하십시오.

• CVSS 점수
  • (기존) 5.9
  • (신규) 4.2

폴백 값

• (기존) true
• (신규) false

• 설명
  • (이전)

    'glide.enforce_security_scope.' 형식의 속성(예: 'glide.enforce_security_scope.sn_hr_core')은 'sys_attachment' 또는 'sys_email'와 같이 애플리케이션 외부의 기본 테이블에 상주하는 애플리케이션 데이터의 동작을 제어합니다. 형식의 속성 값이 '예'인 경우 이러한 테이블에 있는 애플리케이션 데이터에 대한 액세스에 대해 애플리케이션별 ACL만 평가됩니다. 속성에 "예" 값이 없으면 기본 테이블의 ACL이 액세스 여부를 계속 평가하므로 애플리케이션 데이터에 대한 무단 또는 원치 않는 액세스가 허용될 수 있습니다. 일부 애플리케이션은 이 구성에서 작동하거나 이러한 목적으로 'sys_properties' 기록을 제공하도록 설계되지 않았습니다.

    다음 애플리케이션 범위에는 이 속성이 포함됩니다.

    • sn_uni_task
    • sn_uni_req
    • sn_svc_appl_info
    • sn_professional
    • sn_opp_market
    • sn_lg_ops
    • sn_lg_matter
    • sn_lg_contracts
    • sn_jny
    • sn_ja
    • sn_imt_vaccine
    • sn_imt_tracing
    • sn_imt_health_test
    • sn_hr_ws
    • sn_hr_va
    • sn_hr_sp
    • sn_hr_pj
    • sn_hr_pad
    • sn_hr_mii_base
    • sn_hr_le
    • sn_hr_hc
    • sn_hr_gen_ai
    • sn_hr_er
    • sn_hr_ef
    • sn_hr_core
    • sn_hr_awa
    • sn_hr_agent_ws
    • sn_hc_professional
    • sn_gsm_soc_bnfts
    • sn_gsm_lic_prmt_ex
    • sn_gsm_lic_prmt
    • sn_gsm_info_req
    • sn_gsm
    • sn_em
    • sn_egd_goals
    • sn_egd_core
    • sn_egd_act
    • sn_doc
  • (신규)

    애플리케이션 외부의 기본 테이블에 상주하는 애플리케이션 데이터의 동작을 제어합니다. 이러한 속성의 기본 값이 true이면 이러한 테이블에 있는 애플리케이션 데이터에 대한 액세스에 대해 애플리케이션별 ACL만 평가됩니다. 일부 애플리케이션은 이러한 구성에서 작동하거나 이러한 목적으로 시스템 속성 [sys_properties] 레코드를 사용하도록 설계되지 않았습니다.

    이러한 시스템 속성은 glide.enforce_security_scope을 사용합니다. 명명 형식입니다. 예를 들어 sn_hr_sp(직원 센터 코어) 범위에 glide.enforce_security_scope.sn_hr_sp 속성을 사용합니다. 다음 애플리케이션 범위에는 이 속성이 포함됩니다.

    • sn_doc
    • sn_egd_act
    • sn_egd_core
    • sn_egd_goals
    • sn_em
    • sn_gsm
    • sn_gsm_info_req
    • sn_gsm_lic_prmt
    • sn_gsm_lic_prmt_ex
    • sn_gsm_soc_bnfts
    • sn_hc_professional
    • sn_hr_agent_ws
    • sn_hr_ai_agents
    • sn_hr_awa
    • sn_hr_core
    • sn_hr_ef
    • sn_hr_er
    • sn_hr_gen_ai
    • sn_hr_hc
    • sn_hr_le
    • sn_hr_le_ent
    • sn_hr_mii_base
    • sn_hr_na_galileo
    • sn_hr_pad
    • sn_hr_pj
    • sn_hr_sp
    • sn_hr_va
    • sn_hr_ws
    • sn_imt_health_test
    • sn_imt_tracing
    • sn_imt_vaccine
    • sn_ja
    • sn_jny
    • sn_lg_contracts
    • sn_lg_matter
    • sn_lg_ops
    • sn_opp_market
    • sn_professional
    • sn_svc_appl_info
    • sn_svc_appl_pgm_mg
    • sn_talent_aia
    • sn_uni_req
    • sn_uni_task

    속성에 "예" 값이 없으면 기본 테이블의 ACL이 액세스 여부를 계속 평가하므로 애플리케이션 데이터에 대한 무단 또는 원치 않는 액세스가 허용될 수 있습니다.

• 정정
  • (이전)

    "sys_properties" 테이블에서 "glide.enforce_security_scope." 속성(예: "glide.enforce_security_scope.sn_hr_core")으로 설치된 애플리케이션의 경우 속성 값이 "예"로 설정되어 있는지 확인합니다. 이러한 속성은 특정 애플리케이션에 대해 범위가 지정된 관리자만 수정할 수 있습니다.

  • (신규)

    시스템 속성 [sys_properties] 테이블에서 glide.enforce_security_scope 속성으로 설치된 각 애플리케이션(예: glide.enforce_security_scope.sn_hr_core)의 경우 속성 값이 true로 설정되어 있는지 확인합니다.

    이러한 속성은 특정 애플리케이션에 대해 범위가 지정된 관리자만 수정할 수 있습니다. 지정된 애플리케이션 및 해당 속성에 대한 sys_properties 기록이 없는 경우 이를 생성해야 합니다.

    이 스크립트를 사용하여 인스턴스에서 업데이트하거나 작성해야 하는 속성을 찾을 수 있습니다.

    var properties = [
        'glide.enforce_security_scope.sn_uni_task',
        'glide.enforce_security_scope.sn_uni_req',
        'glide.enforce_security_scope.sn_svc_appl_info',
        'glide.enforce_security_scope.sn_professional',
        'glide.enforce_security_scope.sn_opp_market',
        'glide.enforce_security_scope.sn_lg_ops',
        'glide.enforce_security_scope.sn_lg_matter',
        'glide.enforce_security_scope.sn_lg_contracts',
        'glide.enforce_security_scope.sn_jny',
        'glide.enforce_security_scope.sn_ja',
        'glide.enforce_security_scope.sn_imt_vaccine',
        'glide.enforce_security_scope.sn_imt_tracing',
        'glide.enforce_security_scope.sn_imt_health_test',
        'glide.enforce_security_scope.sn_hr_ws',
        'glide.enforce_security_scope.sn_hr_va',
        'glide.enforce_security_scope.sn_hr_sp',
        'glide.enforce_security_scope.sn_hr_pj',
        'glide.enforce_security_scope.sn_hr_pad',
        'glide.enforce_security_scope.sn_hr_mii_base',
        'glide.enforce_security_scope.sn_hr_le',
        'glide.enforce_security_scope.sn_hr_le_ent',
        'glide.enforce_security_scope.sn_hr_hc',
        'glide.enforce_security_scope.sn_hr_gen_ai',
        'glide.enforce_security_scope.sn_hr_er',
        'glide.enforce_security_scope.sn_hr_ef',
        'glide.enforce_security_scope.sn_hr_core',
        'glide.enforce_security_scope.sn_hr_awa',
        'glide.enforce_security_scope.sn_hr_agent_ws',
        'glide.enforce_security_scope.sn_hc_professional',
        'glide.enforce_security_scope.sn_gsm_soc_bnfts',
        'glide.enforce_security_scope.sn_gsm_lic_prmt_ex',
        'glide.enforce_security_scope.sn_gsm_lic_prmt',
        'glide.enforce_security_scope.sn_gsm_info_req',
        'glide.enforce_security_scope.sn_gsm',
        'glide.enforce_security_scope.sn_em',
        'glide.enforce_security_scope.sn_egd_goals',
        'glide.enforce_security_scope.sn_egd_core',
        'glide.enforce_security_scope.sn_egd_act',
        'glide.enforce_security_scope.sn_doc',
        'glide.enforce_security_scope.sn_talent_aia',
        'glide.enforce_security_scope.sn_hr_na_galileo',
        'glide.enforce_security_scope.sn_svc_appl_pgm_mg',
        'glide.enforce_security_scope.sn_hr_ai_agents',
        'glide.enforce_security_scope.sn_hr_mii_base'
    ];
    
    var pm = new GlidePluginManager();
    
    for (var i = 0; i < properties.length; i++) {
        var property = properties[i];
        var application = property.split('.')[2];
        var propertyValue = gs.getProperty(property, 'false');
    
        if (pm.isActive(application) && propertyValue.toLowerCase() != 'true') {
            gs.print(property);
        }
    }
    

• CVSS 점수
  • (기존) 5.5
  • (신규) 4.1

• 설명
  • (이전)

    '.impersonateCheck'와 같은 '.impersonateCheck' 형식의 sn_hr_core.impersonateCheck' 속성은 가장 사용자가 다른 사용자에게 속한 특정 애플리케이션 데이터에 액세스하는 방법을 제어합니다. 이 양식의 속성을 '예'로 설정하면 다른 사용자를 가장하는 관리자 수준 사용자는 해당 사용자에게 속한 애플리케이션 관련 데이터에 액세스할 수 없습니다. 일부 애플리케이션은 이 구성에서 작동하거나 이러한 목적으로 'sys_properties' 기록을 제공하도록 설계되지 않았습니다.

    이러한 속성의 "아니오" 값을 사용하면 관리자 수준 사용자가 다른 사용자를 가장하고 가장한 사용자의 액세스 권한으로 애플리케이션 데이터에 액세스할 수 있습니다. 이는 바람직하지 않거나 특정 애플리케이션 컨텍스트에서 무단 데이터 액세스를 허용할 수 있습니다.

    다음 범위에는 이 속성이 포함됩니다.

    • sn_opp_market
    • sn_jny
    • sn_imt_vaccine
    • sn_imt_health_test
    • sn_hr_core
    • sn_egd_goals
    • sn_egd_core
    • sn_egd_act
  • (신규)

    시스템 속성을 사용하여 사용자를 가장하여 사용자가 애플리케이션 데이터를 볼 수 없도록 합니다.

    계정을 가장할 때 관리자 수준이 해당 사용자에게 속한 애플리케이션 특정 데이터에 액세스하지 못하도록 합니다. 이 권한은 애플리케이션과 관련된 시스템 속성을 만들어 애플리케이션 수준에서 설정할 수 있습니다.

    이러한 시스템 속성은 .impersonateCheck 명명 형식(예: sn_hr_core.impersonateCheck)을 사용합니다. true 값을 사용하여 시스템 속성을 생성하여 사용자가 계정을 가장할 때 다른 사용자에게 속한 애플리케이션 관련 데이터에 액세스하지 못하도록 합니다.

    참고: 일부 애플리케이션은 이 구성에서 작동하도록 설계되거나 이러한 목적을 위한 시스템 속성 [sys_properties] 기록이 있는 것은 아닙니다. 이 속성을 사용하도록 다음 범위가 구성되어 있습니다.

    • sn_opp_market
    • sn_jny
    • sn_imt_vaccine
    • sn_imt_health_test
    • sn_hr_core
    • sn_egd_goals
    • sn_egd_core
    • sn_egd_act
    • sn_em
    • sn_talent_aia
• 정정
  • (이전)

    "sys_properties" 테이블에서 ".impersonateCheck"와 같은 "sn_hr_core.impersonateCheck" 속성이 있는 애플리케이션의 경우 속성 값이 "예"로 설정되어 있는지 확인합니다. 이러한 속성은 특정 애플리케이션에 대해 범위가 지정된 관리자만 수정할 수 있습니다.

  • (신규)

    시스템 속성 [sys_properties] 테이블에 .impersonateCheck 속성이 있는 각 애플리케이션의 경우 속성 값이 true로 설정되어 있는지 확인합니다.

    이러한 속성은 특정 애플리케이션에 대해 범위가 지정된 관리자만 수정할 수 있습니다.

    이 스크립트를 사용하여 인스턴스에서 업데이트하거나 작성해야 하는 속성을 찾습니다.

    var properties = [
        'sn_opp_market.impersonateCheck',
        'sn_jny.impersonateCheck',
        'sn_imt_vaccine.impersonateCheck',
        'sn_imt_health_test.impersonateCheck',
        'sn_hr_core.impersonateCheck',
        'sn_egd_goals.impersonateCheck',
        'sn_egd_core.impersonateCheck',
        'sn_egd_act.impersonateCheck',
    'sn_em.impersonateCheck',
    'sn_talent_aia.impersonateCheck'
    ];
    
    var pm = new GlidePluginManager();
    
    for (var i = 0; i < properties.length; i++) {
        var property = properties[i];
        var application = property.split('.')[0];
        var propertyValue = gs.getProperty(property, 'false');
    
        if (pm.isActive(application) && propertyValue.toLowerCase() != 'true') {
            gs.print(property);
        }
    }
    

• CVSS 점수
  • (기존) 4.4
  • (신규) 3.8

• 설명
  • (기존) <공백>
  • (신규)

    "glide.html.escape_script" 속성은 HTML 필드를 정리하는 데 도움이 됩니다. "glide.html.escape_script"가 권장 값인 "예"로 설정되지 않은 경우 포함된 JavaScript를 제거하여 백엔드 Java 컨텍스트에서 HTML 필드(출력 인코딩)에 대한 입력이 삭제되지 않습니다. HTML 필드의 Javascript는 XSS를 저장하고 반영할 수 있습니다.

• 보안 위험
  • (기존) <공백>
  • (신규) XSS를 사용하면 관리자와 같은 더 높은 역할로 쉽게 권한을 에스컬레이션할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 백엔드 Java 컨텍스트에서 전역 수준에서 HTML 필드의 정리 동작을 제어합니다. "glide.html.sanitize_all_fields"가 권장 값인 "예"로 설정되지 않은 경우 ServiceNow 인스턴스는 HTML 필드의 XSS에 열립니다.

• 보안 위험
  • (기존) <공백>
  • (신규) XSS를 사용하면 관리자와 같은 더 높은 역할로 쉽게 권한을 에스컬레이션할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 <j:jelly>에 포함된 모든 JS 및 HTML 문자열을 이스케이프합니다. </j:jelly>를 사용하여 여러 XSS 문제가 발생하지 않도록 합니다. "glide.ui.escape_all_script"이 권장 값인 "예"로 설정되지 않은 경우 Jelly에 삽입된 스크립트의 이스케이프가 비활성화됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이러한 완화 조치가 없으면 플랫폼은 다양한 스크립트 삽입 공격에 널리 개방됩니다. 공격자는 인스턴스에서 임의의 Rhino 스크립트를 실행할 수 있습니다.

• 설명
  • (기존) <공백>
  • (신규)

    이 속성은 "스크립트 샌드박스" 기능을 활성화합니다. 스크립트 샌드박스는 주로 클라이언트 작성 스크립트(예: 쿼리 조건 및 GlideAjax 표현식)를 실행할 때 활용됩니다. "glide.script.use.sandbox"가 권장 값인 "예"로 설정되지 않은 경우 스크립트 샌드박스 기능이 비활성화됩니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    스크립트 샌드박스가 없으면 권한이 해제되거나 인증되지 않은 사용자가 ServiceNow 인스턴스에서 임의의 권한 있는 스크립트를 실행할 수 있습니다. 이는 ServiceNow 인스턴스의 모든 데이터에 대한 잠재적인 악의적 접근을 포함하되 이에 국한되지 않는 모든 영역에서 완전한 보안 영향을 미칠 수 있습니다.

• 설명
  • (이전)

    glide.db.clone.allow_clone_target이 권장 값인 false로 설정되지 않은 경우 인스턴스를 클론 대상 또는 클론에 사용되는 인스턴스 URL 및 자격 증명을 지정하는 레코드로 사용할 수 있습니다. 시스템 클론은 데이터베이스의 모든 항목이 한 인스턴스에서 다른 인스턴스로 복사되는 경우입니다. 이는 복제 프로세스에서 인스턴스 데이터베이스를 덮어써서 데이터 손실 및 데이터 무결성 부족으로 이어질 수 있기 때문에 보안 위험입니다. 정정을 위해 glide.db.clone.allow_clone_target이 false로 설정되어 있는지 확인하십시오.

  • (신규)

    인스턴스가 복제 대상으로 사용되지 않도록 보호하려면 glide.db.clone.allow_clone_target 시스템 속성을 false로 설정합니다. 시스템 클론은 소스 인스턴스에서 대상 인스턴스로 데이터베이스의 모든 것을 복사합니다. 대상 인스턴스의 인스턴스 데이터베이스가 복제 프로세스에서 덮어쓰여져 데이터 손실 및 데이터 무결성 부족으로 이어지기 때문에 보안상 위험합니다.

• 정정
  • (이전)

    속성 "glide.db.clone.allow_clone_target"이 "아니오"로 설정되어 있는지 확인합니다.

  • (신규)

    프로덕션 인스턴스에서 glide.db.clone.allow_clone_target 시스템 속성을 아니오로 설정하여 인스턴스가 클론 대상으로 선택되지 않도록 합니다.

• CVSS 점수
  • (기존) 5.9
  • (신규) 4.4
• 데이터 유형
  • (기존) <공백>
  • (신규) 부울
• 바로 사용 가능한 값
  • (기존) <공백>
  • (신규) true

• 설명
  • (신규)

    시스템 속성을 사용하여 외부 사용자에게 snc_internal 역할을 할당할 수 있는지 여부를 결정합니다.

    외부 사용자에게 snc_internal 역할이 할당되지 않도록 하려면 glide.security.explicit_roles.enable_internal_user_blacklist 시스템 속성을 사용합니다. 이 속성을 예로 설정하면 maint 보호 glide.security.explicit_roles.internal_user_blacklist 속성의 매개변수가 적용됩니다. 이 속성은 신뢰할 수 없는 사용자 클래스 목록에 snc_external 역할을 할당합니다. glide.security.explicit_roles.enable_internal_user_blacklist가 아니오로 설정된 경우 glide.security.explicit_roles.internal_user_blacklist 속성이 무시됩니다.

  • (이전) 이 속성은 외부 사용자에게 snc_internal 역할이 할당되지 않도록 합니다. "glide.security.explicit_roles.enable_internal_user_blacklist"가 권장 값인 "예"로 설정되면 신뢰할 수 없는 사용자 클래스 목록에 "glide.security.explicit_roles snc_external" 역할을 할당하는 maint 보호 ".internal_user_blacklist" 속성의 매개변수를 적용합니다. 이 값이 아니오로 설정되면 "glide.security.explicit_roles.internal_user_blacklist" 속성이 무시됩니다. 이 속성을 잘못 구성하면 외부 사용자 계정이 내부 정보에 대한 액세스 권한을 얻을 위험이 높아집니다.
• 플러그인 적용 가능성
  • (신규)

    명시적 역할 플러그인, 고객 서비스 기본 확장 엔터티

  • (이전) Explicit Roles 플러그인
• 보안 위험
  • (신규)

    이 속성을 잘못 구성하면 외부 사용자 계정이 내부 정보에 대한 액세스 권한을 얻을 위험이 높아집니다.

  • (기존) <공백>
• 데이터 유형
  • (신규) 부울
  • (기존) <공백>
• 바로 사용 가능한 값
  • (신규) true
  • (기존) <공백>
• 폴백 값
  • (신규) false
  • (기존) true

• 설명
  • (이전)

    이 속성은 인바운드 OAuth 인증의 액세스 토큰 수락을 제어합니다. 액세스 토큰은 중요하며 POST 요청 본문 내에 있는 경우에만 허용되어야 합니다.

  • (신규)

    glide.oauth.allow.parameters.in.post.body.only 속성을 사용하여 인바운드 OAuth 인증의 액세스 토큰 수락을 제어합니다. 액세스 토큰은 중요하며 POST 요청 본문 내에 있는 경우에만 허용되어야 합니다.

• 정정
  • (이전)

    속성 "glide.oauth.allow.parameters.in.post.body.only"가 "예"로 설정되어 있는지 확인합니다.

  • (신규)

    속성 "glide.oauth.allow.parameters.in.post.body.only"가 "예"로 설정되어 있는지 확인합니다. 속성이 "sys_properties" 테이블에 없는 경우 기본값은 "아니오"입니다.

• 플러그인 적용 가능성
  • (기존) <공백>
  • (신규) OAuth 2.0
• 보안 위험
  • (이전)

    "glide.oauth.allow.parameters.in.post.body.only"가 권장 값인 "예"로 설정되지 않은 경우 액세스 토큰이 GET 요청 매개변수에 있을 수 있으며, 이는 클라이언트 및 인프라 로그에 남아 해당 로그가 유출될 경우 계정 탈취로 이어질 수 있습니다.

  • (신규)

    glide.oauth.allow.parameters.in.post.body.only가 권장 값인 예로 설정되지 않은 경우 접근 토큰이 GET 요청 매개변수에 있을 수 있습니다. 이러한 액세스 토큰은 클라이언트 및 인프라 로그에 남아 있을 수 있으며 해당 로그가 유출될 경우 계정 탈취로 이어질 수 있습니다.

• 의존성 및 필수 구성요소
  • (기존) <공백>
  • (신규) 플러그인 OAuth 2.0
• 데이터 유형
  • (기존) <공백>
  • (신규) 부울
• 바로 사용 가능한 값
  • (기존) <공백>
  • (신규) true

• 설명
  • (이전)

    "glide.security.groupby_acl_check"이 권장 값인 "예"로 설정되지 않은 경우 그룹 ACL을 적용하기 위해 테이블에 "groupby_acl_check" 속성이 설정되어 있는지 확인합니다. 다른 경우에는 테이블의 groupby 열에 대한 ACL 검사가 없습니다. 이는 정보 공개로 이어질 수 있습니다.

  • (신규)

    glide.security.groupby_acl_check 시스템 속성을 사용하여 groupby 열에 대한 ACL 검사를 수행하도록 인스턴스를 구성합니다. 이 속성이 권장 값인 true로 설정되면 groupby 열의 ACL이 기본적으로 허용됩니다. 테이블의 groupby_acl_check 속성이 glide.security.groupby_acl_check 속성보다 우선합니다. 속성이 아니오로 설정된 경우 groupby 열에 대한 ACL 검사가 있어야 하는 테이블에 groupby_acl_check 속성이 예로 설정되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    "glide.security.groupby_acl_check"이 아니오로 설정되고 개별 테이블에 "groupby_acl_check" 속성이 없으면 groupby 열의 ACL이 허용되지 않아 정보 유출로 이어질 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    groupby 열의 ACL은 테이블에 대해 기본적으로 적용됩니다.

• 데이터 유형
  • (기존) <공백>
  • (신규) 부울
• 바로 사용 가능한 값
  • (기존) <공백>
  • (신규) true

• 설명
  • (이전)

    Glide 속성 "glide.stax.whitelist_enabled"이 sys_properties 테이블에 없거나 권장 값인 "예"로 설정되지 않은 경우 Glide 속성 "glide.stax.allow_entity_resolution"이 "예" 값으로 설정되면 모든 외부 엔터티가 허용됩니다. 사용자 지정에 엔터티 확장이 필요하지 않은 경우 "glide.stax.allow_entity_resolution" 속성을 사용하여 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.

    • "glide.stax.allow_entity_resolution"을 예로 설정하면 모든 외부 엔터티가 "glide.stax.whitelist_enabled" 속성 설정에 따라 주체 엔터티를 해결하거나 확장하려고 시도합니다.
    • "glide.stax.allow_entity_resolution"을 false로 설정하면 모든 엔터티 해결 및 확장이 차단됩니다. 이 속성에 대한 자세한 내용은 https://www.servicenow.com/docs/csh?topicname=sc-disable-entity-expansion.html&version=latest 문서를 참조하십시오.

    "glide.stax.whitelist_enabled"이 예로 설정되면 XML 엔터티 처리 속성을 사용하여 연결할 수 있는 유일한 URL인 "glide.xml.entity.whitelist" 속성에 쉼표로 구분된 FQDN 목록을 정의합니다. 자세한 내용은 https://www.servicenow.com/docs/csh?topicname=sc-xml-entity-validation-url-allowlist.html&version=latest 문서를 참조하십시오.

  • (신규)

    Glide 속성 "glide.stax.whitelist_enabled"이 sys_properties 테이블에 없거나 권장 값인 "예"로 설정되지 않은 경우 Glide 속성 "glide.stax.allow_entity_resolution"이 "예" 값으로 설정되면 모든 외부 엔터티가 허용됩니다.

    사용자 지정에 엔터티 확장이 필요하지 않은 경우 "glide.stax.allow_entity_resolution" 속성을 사용하여 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.

    • "glide.stax.allow_entity_resolution"을 예로 설정하면 모든 외부 엔터티가 "glide.stax.whitelist_enabled" 속성 설정에 따라 주체 엔터티를 해결하거나 확장하려고 시도합니다.
    • "glide.stax.allow_entity_resolution"을 false로 설정하면 모든 엔터티 해결 및 확장이 차단됩니다. 이 속성에 대한 자세한 내용은 https://www.servicenow.com/docs/csh?topicname=sc-disable-entity-expansion.html&version=latest 문서를 참조하십시오.

    "glide.stax.whitelist_enabled"이 예로 설정되면 XML 엔터티 처리 속성을 사용하여 연결할 수 있는 유일한 URL인 "glide.xml.entity.whitelist" 속성에 쉼표로 구분된 FQDN 목록을 정의합니다. 자세한 내용은 https://www.servicenow.com/docs/csh?topicname=sc-xml-entity-validation-url-allowlist.html&version=latest 문서를 참조하십시오.

• 정정
  • (이전)

    "glide.stax.whitelist_enabled" 속성이 "예"로 설정되어 있는지 확인합니다.

  • (신규)

    Glide 속성 "glide.stax.allow_entity_resolution"의 값이 "예"로 설정된 경우 "glide.stax.whitelist_enabled" 속성이 "예"로 설정되어 있는지 확인합니다.

• 설명
  • (이전)

    "glide.ui.attachment.download_mime_types"에 "text/html,image/svg,image/svg+xml,application/xml"과 같은 위험한 항목이 포함되어 있으면 브라우저에서 위험한 파일을 인라인으로 렌더링하여 XSS(Cross Sitte Scripting Attack)로 이어질 수 있습니다. 이 속성은 브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 예를 들어 text/html을 포함하면 HTML 파일을 브라우저에서 인라인으로 않고 첨부 파일로 클라이언트에 다운로드해야 합니다. 이 목록을 제대로 유지하면 교차 사이트 스크립팅 공격을 방지할 수 있습니다.

  • (신규)

    glide.ui.attachment.download_mime_types에 text/html, image/svg, image/svg+xml, application/xml과 같은 위험한 MIME 형식이 포함되어 있으면 브라우저에서 위험한 파일을 인라인으로 렌더링하여 XSS(교차 사이트 스크립팅 공격)로 이어질 수 있습니다. 이 속성은 브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 예를 들어 텍스트/html을 포함하면 HTML 파일이 브라우저에서 인라인으로 표시되지 않고 첨부 파일로 클라이언트에 다운로드됩니다. 이 목록을 제대로 유지하면 교차 사이트 스크립팅 공격을 방지할 수 있습니다.

    glide.ui.attachment.download_mime_types 시스템 속성에 "text/html, image/svg,image/svg+xml,application/xml"과 같은 위험한 MIME 유형이 포함되어 있지 않으면 브라우저에서 위험한 파일을 인라인으로 렌더링할 수 있습니다. 이는 XSS(교차 사이트 스크립팅) 공격으로 이어질 수 있습니다. 이 검사는 glide.ui.attachment.force_download_all_mime_types가 false로 설정된 경우에만 관련이 있습니다.

    이 속성은 브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 예를 들어 텍스트/html을 포함하면 HTML 파일이 브라우저에서 인라인으로 표시되지 않고 첨부 파일로 클라이언트에 다운로드됩니다.

• 정정
  • (이전)

    glide.ui.attachment.force_download_all_mime_types가 아니오로 설정된 경우 glide.ui.attachment.download_mime_types 시스템 속성에 위험한 MIME 유형 "text/html,image/svg,image/svg+xml,application/xml"이 포함되어 있는지 확인합니다.

  • (신규)

    "glide.ui.attachment.download_mime_types"에 위험한 항목 "text/html,image/svg,image/svg+xml,application/xml" 속성이 포함되어 있는지 확인합니다.

• 보안 위험
  • (기존) <공백>
  • (신규)

    이 목록을 제대로 유지관리하면 교차 사이트 스크립팅 공격을 방지할 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    이 속성에 나열된 MIME 유형의 첨부 파일은 브라우저에서 인라인으로 볼 수 없습니다.

• 의존성 및 필수 구성요소
  • (기존) <공백>
  • (신규)

    이 검사는 glide.ui.attachment.force_download_all_mime_types이 false로 설정되어 있거나 시스템 속성 [sys_properties] 테이블에 없는 경우에만 해당됩니다.

• 데이터 유형
  • (기존) <공백>
  • (신규) 쉼표로 구분된 MIME 유형 목록
• 바로 사용 가능한 값
  • (기존) <공백>
  • (신규)

    텍스트/HTML, 이미지/svg, 이미지/svg+xml, 애플리케이션/xml

• 설명
  • (이전)

    이 속성은 HTML 필드가 표시되는 목록 뷰를 정리하는 데 도움이 됩니다. "glide.ui.escape_html_list_field"이 권장 값인 "예"로 설정되지 않은 경우 악의적인 사용자가 양식 필드 내에 HTML 코드를 삽입하여 다른 클라이언트/사용자 세션에서 원치 않는 스크립트를 실행할 수 있습니다. 이는 공격자가 세션 정보와 민감한 데이터를 훔치는 데 잠재적으로 활용할 수 있습니다.

  • (신규)

    목록 뷰의 HTML 필드에서 HTML이 렌더링되지 않도록 하려면 glide.ui.escape_html_list_field를 예로 설정합니다. HTML 위생화를 플랫폼 전체(시스템 속성을 통해) 또는 필드별(스키마 속성을 통해)로 비활성 상태로 두면 XSS 스타일 공격이 발생할 수 있습니다. XSS 공격을 통해 권한이 낮은 사용자가 권한이 높은 사용자의 세션을 가로채거나 리디렉션 또는 변조를 포함한 표준 웹 애플리케이션 동작을 방해할 수 있습니다.

• CVSS 점수
  • (기존) 8.8
  • (신규) 3.1
• 보안 위험
  • (기존) <공백>
  • (신규)

    플랫폼 전체(Glide 속성을 통해) 또는 필드(스키마 속성)별로 HTML 정리가 비활성화되면 권한이 낮은 사용자가 HTML 필드에 쓸 수 있는 액세스 권한이 있는 경우 XSS 스타일 공격으로 이어질 수 있습니다. XSS 공격을 통해 권한이 낮은 사용자가 높은 권한의 사용자의 세션을 하이재킹하거나 표준 웹 애플리케이션 동작(리디렉션 또는 변조)을 방해할 수 있습니다.

• 기능적 영향
  • (기존) <공백>
  • (신규)

    기본적으로 HTML은 양식 보기에서 렌더링할 수 있으며 삭제됩니다. 목록 뷰에서도 이와 동일한 동작이 필요할 수 있으며, 이 경우 이 속성을 "아니오"로 설정하는 것이 선호되는 환경일 수 있습니다. 플랫폼 전체 또는 현장에서 HTML 시스템 비활성화가 없는 한 보안에 미치는 영향은 최소화됩니다.

• 데이터 유형
  • (기존) <공백>
  • (신규) 부울
• 바로 사용 가능한 값
  • (기존) <공백>
  • (신규) true

• 데이터 유형
  • (기존) <공백>
  • (신규) 정수
• 바로 사용 가능한 값
  • (기존) <공백>
  • (신규) 10
• 폴백 값
  • (구) 10
  • (신규) 5

바로 사용 가능한 값

• (기존) <공백>
• (신규) true

설명

• (이전)

  설명(이전): "glide.image_provider.security_enabled"가 권장 값인 "True"로 설정되지 않은 경우 모든 이미지는 ".iix"로 끝나는 URL을 통해 액세스할 수 있습니다. 이렇게 하면 민감한 정보 유출로 이어지는 이미지에 대한 인증되지 않은 액세스가 허용됩니다. 원본 테이블이 [sysevent_email_style, sys_home, sys_properties]인 첨부 파일 테이블의 이미지에는 이 속성이 적용되지 않습니다. 일부 첨부 파일에는 중요한 정보가 포함될 수 있으므로 인증되지 않은 사용자에 대해서는 제한을 적용해야 합니다.

• (신규)

  인스턴스의 이미지를 보호하여 중요한 정보 유출을 방지합니다. 인스턴스의 이미지는 .iix로 끝나는 URL을 통해 액세스할 수 있습니다.

  이러한 URL을 통해 이미지에 접근할 수 없도록 glide.image_provider.security_enabled 시스템 속성을 예 로 설정합니다.

  주:

  원본 테이블이 다음 중 하나인 경우 첨부 파일 테이블의 이미지에 대해 이 속성이 적용되지 않습니다.

  • 문구류 [sysevent_email_style]
  • 시작 페이지 섹션 [sys_home]
  • 시스템 속성 [sys_properties]

  일부 첨부 파일에는 중요한 정보가 포함될 수 있으므로 인증되지 않은 사용자에 대해서는 제한을 적용해야 합니다.

CVSS 점수

• (기존) 8.8
• (신규) 3.1

• 설명
  • (이전)

    "glide.user.unlock_timeout_in_mins"이 권장 값인 "15"로 설정되지 않은 경우 더 빠른 시간 범위에서 계정을 무차별 대입하는 것이 더 쉬울 수 있습니다. 이 속성은 glide.user.unlock_timeout_in_mins 속성에 지정된 기간 후에 사용자 계정의 잠금을 해제합니다. 값을 지정하지 않으면 기본 기간인 15분 후에 시스템이 사용자 계정의 잠금을 해제합니다.

    속성이 보안 값으로 구성되지 않고 잠금 기간이 활성화되지 않은 경우 더 빠른 시간 범위에서 계정 강제 로그인을 더 쉽게 수행할 수 있습니다. 이렇게 하면 악의적인 사용자가 결국 인스턴스에 무단으로 액세스할 수 있습니다. 인스턴스에 대한 영향은 영향을 받는 사용자 로그인의 권한으로 무차별 암호 대입으로 제한됩니다.

  • (신규)

    "glide.user.unlock_timeout_in_mins"이 최소값인 "15" 이상으로 설정되지 않은 경우 더 빠른 시간 범위에서 계정을 무차별 대입하는 것이 더 쉬울 수 있습니다. 이 속성은 glide.user.unlock_timeout_in_mins 속성에 지정된 기간 후에 사용자 계정의 잠금을 해제합니다. 값을 지정하지 않으면 기본 기간인 15분 후에 시스템이 사용자 계정의 잠금을 해제합니다.

    속성이 보안 값으로 구성되지 않고 잠금 기간이 활성화되지 않은 경우 더 빠른 시간 범위에서 계정 강제 로그인을 더 쉽게 수행할 수 있습니다. 이렇게 하면 악의적인 사용자가 결국 인스턴스에 무단으로 액세스할 수 있습니다. 인스턴스에 대한 영향은 영향을 받는 사용자 로그인의 권한으로 무차별 암호 대입으로 제한됩니다.

• 정정

  • glide.user.unlock_timeout_in_mins 시스템 속성 값을 최소 15로 설정합니다. glide.user.unlock_timeout_in_mins 없는 경우 기본 잠금 시간은 15분으로 설정됩니다.

    자동 잠금 해제로 SNC 사용자 잠금 확인 스크립트 작업(스크립트 작업 [sysevent_script_action] 테이블에 있음)이 있고 활성 상태인지 확인합니다. 자동 잠금 해제로 SNC 사용자 잠금 확인 스크립트 작업은 com.glide.high_security(높은 보안 설정) 플러그인과 함께 설치됩니다.

    속성 "glide.user.unlock_timeout_in_mins"이 "15" 이상으로 설정되어 있고 스크립트 작업(sysevent_script_action) "자동 잠금 해제로 SNC 사용자 잠금 확인"이 존재하고 활성 상태인지 확인합니다. Glide 속성 "glide.user.unlock_timeout_in_mins"이(가) 없으면 기본적으로 보안 값 "15"로 설정됩니다.

    "자동 잠금 해제로 SNC 사용자 잠금 확인"은 높은 보안 플러그인과 함께 설치됩니다.

  • (신규) 10

정정

• (이전)

  실패한 로그인 시도를 관리하려면 "SNC 사용자 잠금 확인" 또는 "자동 잠금 해제로 SNC 사용자 잠금 확인"이라는 스크립트 작업 중 하나 이상을 사용하도록 설정해야 합니다. 또한 "glide.user.max_unlock_attempts" 속성이 "5" 이하로 설정되어 있는지 확인합니다.

• (신규)

  실패한 로그인 시도를 관리하려면 "SNC 사용자 잠금 확인" 또는 "자동 잠금 해제로 SNC 사용자 잠금 확인"이라는 스크립트 작업 중 하나 이상을 사용하도록 설정해야 합니다. 이러한 스크립트 작업은 "sysevent_script_action" 테이블에 저장됩니다.

  또한 "glide.user.max_unlock_attempts" 속성이 "5" 이하로 설정되어 있는지 확인합니다.

• 간단한 설명
  • (이전) 12시간 이하로 암호 재설정 OTP 수명 설정
  • (신규) 암호 재설정 OTP 수명을 1시간으로 설정
• 설명
  • (이전)

    이 "glide.pwd_reset.onetime.token.validity"를 사용하면 암호 재설정 이메일의 링크가 해당 "glide.pwd_reset.onetime.token.validity" 속성에 지정된 시간 수 후에 만료될 수 있습니다. 암호 재설정 토큰의 유효 시간은 일반 사용자 경험에 따라 가능한 한 짧게 유지되어야 합니다. 암호 재설정 토큰의 유효 시간이 길어지면 악의적인 액터가 계정 인수를 수행하는 데 도움이 될 수 있습니다.

  • (신규)

    암호 재설정 이메일의 링크 지속 시간을 제어합니다.

    glide.pwd_reset.onetime.token.validity 속성은 암호 재설정 이메일의 링크를 속성에 지정된 시간 수 후에 만료시킵니다. 암호 재설정 토큰의 유효 시간은 정상적인 사용자 경험을 방해하지 않으면서 가능한 한 짧게 유지되어야 합니다. 암호 재설정 토큰의 유효 기간이 길어지면 재설정 토큰이 포함된 이메일이 유출되거나 손상된 경우 악의적인 행위자가 계정 인수를 수행할 수 있는 기간이 더 넓어집니다.

• 정정
  • (이전) 속성 값을 12시간 또는 더 짧은 유효 시간으로 설정합니다.
  • (신규) 속성 값을 1(시간 단위)로 설정
• CVSS
  • (기존) 5.6
  • (신규) 4.6
• 보안 위험
  • (기존) <공백>
  • (신규) 암호 재설정 토큰의 유효 기간이 길어지면 재설정 토큰이 포함된 이메일이 유출되거나 손상된 경우 악의적인 행위자가 계정 인수를 수행할 수 있는 기간이 더 넓어집니다.
• 기능적 영향
  • (기존) <공백>
  • (신규) 사용자는 이 속성에 지정된 시간 내에 암호를 재설정해야 합니다. 그렇지 않으면 새 링크를 요청해야 합니다.
• 데이터 유형
  • (기존) <공백>
  • (신규) 시간 수를 나타내는 정수
• 바로 사용 가능한 값
  • (기존) <공백>
  • (신규) 1
• 폴백 값
  • (구) 12
  • (신규) 1

• 간단한 설명
  • (이전) 동시 대화형 세션 제한
  • (신규) 동시 세션 제한 플러그인이 설치된 경우 동시 대화형 세션 제한
• 플러그인 적용 가능성
  • (기존) <공백>
  • (신규) com.glide.limit.concurrent.sessions

• 데이터 유형
  • (기존) <공백>
  • (신규) 정수
• 바로 사용 가능한 값
  • (기존) <공백>
  • (신규) 30
• 폴백 값
  • (구) 30
  • (신규) 50

• 설명
  • (이전)

    Glide 속성 "com.glide.security.protected_table.enabled"가 "예"로 설정되면 인스턴스에서 더 높은 권한이 있는 사용자가 로그 테이블을 변조하지 못하도록 Protected Tables 플러그인이 사용됩니다. 다음 로깅 테이블은 이 속성이 "예"로 설정된 경우 특별한 보호를 받습니다.

    • syslog(구성을 수정할 수 없음)
    • syslog_transaction
    • sys_outbound_http_log
    • 시스템 이벤트
    • sys_audit
    • sys_push_notification
    • protected_table_configuration(구성을 수정할 수 없음)
  • (신규)

    Glide 속성 "com.glide.security.protected_table.enabled"가 "예"로 설정되면 인스턴스에서 더 높은 권한이 있는 사용자가 로그 테이블을 변조하지 못하도록 Protected Tables 플러그인이 사용됩니다. 다음 로깅 테이블은 이 속성이 "예"로 설정된 경우 특별한 보호를 받습니다.

    • syslog(구성을 수정할 수 없음)
    • syslog_transaction
    • sys_outbound_http_log
    • 시스템 이벤트
    • sys_audit
    • sys_push_notification
    • protected_table_configuration(구성을 수정할 수 없음)
    • syslog_app_scope

    로그의 무결성은 고객 관리자가 인스턴스에서 악의적인 활동을 확인하는 데 중요합니다.

• 정정
  • (이전) Glide 속성 "com.glide.security.protected_table.enabled"를 "예"로 설정합니다.
  • (신규) Glide 속성 "com.glide.security.protected_table.enabled"를 "예"로 설정합니다. 이를 위해서는 "security_admin" 역할을 가진 사용자가 필요합니다.
• CVSS 점수
  • (기존) 4.5
  • (신규) 4

• 설명
  • (이전)

    속성 "glide.processors.check_access_before_process"는 사용자가 로그인되어 있는 경우 대시보드를 만들거나 삭제할 때 ACL 적용을 활성화합니다. 이 속성을 비활성화하면(즉, 아니오로 설정) 대시보드에서 ACL 바이패스가 효과적으로 허용되어 권한이 낮은 사용자가 대시보드를 임의로 삭제하고 추가할 수 있습니다. 이 속성은 항상 true로 설정되어야 합니다.

  • (신규)

    속성 "glide.processors.check_access_before_process"은 대시보드를 만들거나 삭제하기 위해 ACL 적용을 활성화합니다. 속성을 "예"로 설정하면 대시보드에서 접근 통제 검사가 수행됩니다. 이 속성을 "아니오"로 설정하면 인증 사용자가 대시보드를 임의로 삭제하고 추가할 수 있습니다.

• 정정
  • (이전)

    Glide 속성 "glide.processors.check_access_before_process"이 존재하고 "예" 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.

  • (신규)

    glide.processors.check_access_before_process 시스템 속성을 true로 설정합니다. 속성이 시스템 속성 [sys_properties] 테이블에 표시되지 않으면 폴백 값은 true입니다.

• 보안 위험
  • (기존) <공백>
  • (신규) 이 속성을 "아니오"로 설정하면 인증 사용자가 대시보드를 임의로 삭제하고 추가할 수 있습니다.
• 기능적 영향
  • (기존) <공백>
  • (신규) 사용자는 이전처럼 대시보드를 삭제할 수 있는 액세스 권한이 없을 수 있습니다. 이러한 기능적 영향을 완화하기 위해 사용자에게 대시보드에 대한 표준 액세스 권한을 부여할 수 있습니다.
• 폴백 값
  • (기존) false
  • (신규) true

• 설명
  • (이전)활성 세션 시간 제한은 하이재킹된 세션을 인증 정보를 제공하지 않고 무기한 사용할 수 없도록 하는 기능입니다. 이 속성은 활성 세션 시간 제한 제한에서 제외되는 역할을 제어합니다. 내부 통합 계정 역할에 대해서만 활성 세션 시간 제한 예외를 고려하는 것이 가장 좋습니다. 역할에 세션 시간 제한에 대한 예외가 부여되고 해당 역할이 세션 하이재킹 공격의 피해자인 사용자에게 제공되는 경우 공격자는 해당 세션에 무기한 계속 인증할 수 있습니다. 이렇게 하면 공격자가 하이재킹된 계정을 사용할 수 있는 시간이 더 많아져 보안 인시던트의 영향을 받는 범위가 늘어날 수 있습니다.
  • (신규)

    활성 세션 시간 제한에서 역할을 제외하려면 glide.active.session.timeout.exception.roles 시스템 속성을 사용합니다. 활성 세션 시간 제한 기능은 하이재킹된 세션을 인증 정보를 제공하지 않고 무기한 사용할 수 없도록 하는 데 도움이 됩니다. 내부 통합 계정 역할에 대해서만 활성 세션 시간 제한 예외를 고려하는 것이 가장 좋습니다.

    내부 통합 계정 역할에 대해서만 활성 세션 시간 제한 예외를 고려하십시오. 사용자가 세션 하이재킹 시도의 피해자이고 예외가 있는 역할이 있는 경우 해당 세션을 사용하는 공격자는 해당 세션에 무기한 계속 인증할 수 있습니다. 이렇게 하면 공격자가 하이재킹된 계정을 사용할 수 있는 시간이 더 많아져 보안 인시던트의 영향이 증가할 수 있습니다.

• 정정
  • (이전)

    Glide 속성 "glide.active.session.timeout.exception.roles"가 "edge_encryption,mid_server" 값으로 설정되어 있는지 확인합니다.

  • (신규)

    활성 세션 시간 제한에서 제외되어야 하는 역할에 glide.active.session.timeout.exception.roles 속성을 구성합니다. 이 속성 값은 쉼표로 구분된 역할 목록입니다. 기본값은 edge_encryption,mid_server,maint입니다.

• 보안 위험
  • (이전) 내부 통합 계정 역할에 대한 활성 세션 시간 제한 제한 예외만 고려합니다. 역할에 세션 시간 제한에 대한 예외가 부여되고 해당 역할이 세션 하이재킹 공격의 피해자인 사용자에게 부여되면 공격자는 해당 세션에 무기한 계속 인증할 수 있습니다. 이렇게 하면 공격자가 하이재킹된 계정을 사용할 수 있는 시간이 더 많아져 보안 인시던트의 영향이 증가할 수 있습니다.
  • (신규) 내부 통합 계정 역할에 대해서만 활성 세션 시간 제한 제한 예외를 고려합니다. 사용자가 세션 하이재킹 시도의 피해자이고 예외가 있는 역할이 있는 경우 해당 세션을 사용하는 공격자는 해당 세션에 무기한 계속 인증할 수 있습니다. 이렇게 하면 공격자가 하이재킹된 계정을 사용할 수 있는 시간이 더 많아져 보안 인시던트의 영향이 증가할 수 있습니다.
• 기능적 영향
  • (기존) <공백>
  • (신규) 이 목록에 추가된 역할은 활성 세션 시간 제한에서 제외됩니다.
• 데이터 유형
  • (기존) <공백>
  • (신규) 쉼표로 구분된 역할 목록
• 바로 사용 가능 값
  • (기존) <공백>
  • (신규) edge_encryption,mid_server,maint
• 폴백 값
  • (기존) edge_encryption,mid_server
  • (신규) edge_encryption,mid_server,maint