Verificar as chamadas de pacotes da lista de permissões (proteção de segurança da instância)

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Revise e remova entradas de chamada de pacote de lista de inclusões conforme necessário da tabela sys_whitelist_package.

    As entradas de chamada de pacote podem acessar recursos Java no lado do servidor para executar operações baseadas em aplicações sem validação apropriada. Como isso pode causar divulgações não autorizadas ou alteração de dados do cliente, é uma grave preocupação de segurança.

    Mais informações

    Atributo Descrição
    Nome da tabela sys_whitelist_package
    Nota:
    Em versões recentes, somente Suporte e atendimento ao cliente podem acessar esta tabela; nem mesmo os administradores podem fazer isso.
    Tipo de configuração Tabela
    Configurar na Central de segurança da instância Sim
    Finalidade Revisar e remover entradas desta tabela.
    Valor recomendado Nenhum registro deve existir na tabela (a lista deve estar vazia).
    Impacto funcional (Baixo) Não deve haver impacto, desde que os resultados da execução do Packages call removal tool sejam revisados e aprovados.

    Para garantir o funcionamento adequado da instância, teste as mudanças em um ambiente de não produção antes de implantar no ambiente de produção. Para saber mais, consulte Packages call removal tool.
    Risco à segurança (Alto) As chamadas de API do lado do cliente que resultam na recuperação de dados ou no acesso a objetos no servidor são consideradas perigosas do ponto de vista da segurança. Valide esses itens para autorização e restrição de acesso a objetos confidenciais.
    Solução alternativa Entre em contato com o suporte da ServiceNow para obter assistência.

    Etapas para configurar

    1. Habilite o plug-in Packages Call Removal Tool. Para saber mais, consulte Packages call removal tool.
    2. Usando o navegador de filtros, navegue até o Utilitário de remoção de chamada de pacotes.
    3. Clique em cada script começando de (1) a (4). Aguarde a saída e prossiga para a próxima.
    4. Depois de executar o script (4), uma lista de campos afetados aparece na página de Itens de chamada de pacotes.
    5. Resolva todos os itens nas seções Proposto e Erro.
      Nota:
      Esta ferramenta pode relatar algumas chamadas de pacote usadas em sa_mapping_ext_commands e sa_custom_operation. Essas chamadas de pacote pertencem ao MID Server. Como não há classes, o código é executado no MID Server. Se você encontrar as seguintes chamadas de pacotes na seção Erros, marque-as como Rejeitadas (Ignoradas). A ferramenta não relata essa chamada de pacote novamente.
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content);
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name);
      • Packages.com.snc.sw.commands.HttpCallHandler;
      • Packages.com.snc.sw.dto.ProviderType.SSH
    6. Entre em contato com o suporte ServiceNow para obter mais correções.