Verificar as chamadas de membros da lista de permissões (proteção de segurança da instância)

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Revise e remova entradas de chamada de membro da lista de inclusões conforme necessário da tabela sys_whitelist_member.

    As entradas de chamada de membro podem acessar os recursos Java no lado do servidor para executar operações baseadas em aplicações sem validação apropriada. Como isso pode causar divulgações não autorizadas ou alteração de dados do cliente, é uma grave preocupação de segurança.

    Mais informações

    Atributo Descrição
    Nome da tabela sys_whitelist_member
    Nota:
    Em versões recentes, somente funcionários da ServiceNow podem acessar esta tabela; nem mesmo os administradores podem fazer isso.
    Tipo de configuração Tabela
    Configurar na Central de segurança da instância Sim
    Finalidade Revisar e remover entradas desta tabela.
    Valor recomendado Nenhum registro deve existir na tabela (a lista deve estar vazia).
    Impacto funcional (Baixo) Não deve haver nenhum impacto, desde que você revise e aprove os resultados gerados ao executar o Packages call removal tool.

    Para garantir o funcionamento adequado da instância, teste as mudanças em um ambiente de não produção antes de implantar no ambiente de produção. Para saber mais, consulte Packages call removal tool.
    Risco à segurança (Alto) As chamadas de API do lado do cliente que resultam na recuperação de dados ou no acesso a objetos no servidor são consideradas perigosas do ponto de vista da segurança. Valide esses itens para autorização e restrição de acesso a objetos confidenciais.

    Etapas para configurar

    Nota:
    As etapas a seguir são semelhantes às etapas descritas nas seções Etapas para configurar em:

    Se você já as concluiu, pode ignorar essas etapas.

    1. Habilite o plug-in Packages call removal tool. Para saber mais, consulte Packages call removal tool.
    2. Usando o navegador de filtros, navegue até o Utilitário de remoção de chamada de pacotes.
    3. Clique em cada script começando de (1) a (4). Aguarde a saída e prossiga para a próxima.
    4. Depois de executar o script (4), uma lista de campos afetados aparece na página de Itens de chamada de pacotes.
    5. Resolva todos os itens nas seções Proposto e Erro.
      Nota:
      Esta ferramenta pode relatar algumas chamadas de pacote usadas em sa_mapping_ext_commands e sa_custom_operation. Essas chamadas de pacote pertencem ao MID Server. Como não há classes, o código é executado no MID Server. Se você encontrar as seguintes chamadas de membros na seção Erros, marque-as como Rejeitadas (Ignoradas). A ferramenta não relata essa chamada de membro novamente.
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content);
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name);
      • Packages.com.snc.sw.commands.HttpCallHandler;
      • Packages.com.snc.sw.dto.ProviderType.SSH
    6. Entre em contato com o suporte ServiceNow para obter mais correções.