CASO PM-48825-19-201443
Se implementa mejora de seguridad mediante la inclusión de un filtro <denyQueryStringSequences>. Este filtro evita que las solicitudes con secuencias del tipo “password=” o “username=” sean consideradas válidas en la solicitud correspondiente dentro de la consola web de usuarios (USDKV8).
CASO PM-48957-19-201450
Se realizan ajustes en API de Aranda Service Desk (ASDKAPI) para resolver el problema de seguridad en las instancias reportadas como vulnerables. Se implementa configuración del encabezado “Cache-Control: no-store” con el fin de evitar el almacenamiento en caché de las respuestas.
CASO PM-49015-19-201456
Para abordar el problema de seguridad reportado, se recomienda actualizar a la última versión de .NET Framework, Microsoft Internet Information Server (IIS) y el sistema operativo en el servidor en el que está instalada la herramienta Aranda Service Desk (ASDK).
CASO PM-49022-19-201458
Se realiza ajuste en API de Aranda Service Desk (ASDKAPI) para resolver problema de seguridad identificado en la instancia reportada como vulnerable. Este ajuste incluye un cambio en el método de consumo, que ahora retorna un valor vacío en caso de no tener una configuración registrada. Como resultado, el servidor podrá identificar el tipo de respuesta y enviarla en el encabezado “Content-Type: application/octet-stream”.
CASO PM-49029-19-201459
En el archivo web.config de USDKV8, se agregan las directivas script-src ‘self’, ‘unsafe-inline’, ‘unsafe-eval’, y object-src ‘none’ al Content-Security-Policy como medida de mejora de seguridad para garantizar una política de seguridad de contenido sólida.
No se han realizado modificaciones en la directiva frame-ancestors, ya que la información incluida (teams.microsoft.com
y *.arandasoft.com
) corresponde a dominios de Aranda y Microsoft que son utilizados por Aranda Virtual Agent.
Nota: Los ajustes en las directivas se han realizado teniendo en cuenta la compatibilidad con la estructura de la aplicación.
CASO PM-49036-19-201460
Se aplica mejora de seguridad (implementación del token único X-XSRF-Token) en las siguientes peticiones de la consola web de usuarios (USDKV8) para habilitar la protección CSRF (Cross Site Request Forgery):
-
Registrar usuarios: /api/v8.6/user/register Esta petición es utilizada por la vista /usdkv8/app/modules/userregister/views/userregister.view.html
-
Login: /api/v8.6/user/login Esta petición es utilizada por las vistas /usdkv8/app/modules/login/views/login.form.horizontal.html y /usdkv8/app/modules/login/views/login.form.vertical.html
-
Cambio de contraseña del usuario: /api/v8.6/user/updatepassword Esta petición es utilizada por la vista /usdkv8/app/modules/login/views/login.changepassword.html
-
Actualización de datos adicionales del usuario: /api/v8.6/user/{userId}/update Esta petición es utilizada por la vista /usdkv8/app/modules/userdetails/views/editprofile.view.html
-
Envío de artículos por correo: /api/v8.6/article/sendemail Esta petición es utilizada por la vista /usdkv8/app/modules/article/views/sendemailarticle.view.html
CASO PM-49086-19-201462
Se realiza ajuste en la consola web de usuarios (USDKV8) para solucionar el problema de seguridad reportado. Se implementa el parámetro ‘viewStateEncryptionMode=”Always”’ en el archivo ‘BadRequest.aspx’ con el fin de configurar el modo de cifrado del estado de la vista.
CASO PM-49090-19-201463
Se implementa mejora de seguridad con la inclusión de un filtro <denyQueryStringSequences>. Este filtro evita que las solicitudes con secuencias tipo “password=” o “username=” sean consideradas válidas en la solicitud correspondiente dentro de la consola web de usuarios (USDKV8). Con esta solución se supera la vulnerabilidad reportada en las peticiones:
https://dominio/usdkv8/?password=]H[ww6KrA9F.x-F&switch-status=on&username=
https://dominio/usdkv8/?password=]H[ww6KrA9F.x-F&&username=
https://dominio/usdkv8/app/modules/login/views/login.form.horizontal.html?password=]H[ww6KrA9F.x-F&switch-status=on&username=
https://dominio/usdkv8/app/modules/login/views/login.form.horizontal.html?password=]H[ww6KrA9F.x-F&&username=
⚐ NOTAS O INSTRUCCIONES ADICIONALES:
- Ejecute el archivo “Aranda.ASDK.WebV8.Installer.exe” y siga las instrucciones del instalador.
- El archivo ejecutable funciona como instalador y como herramienta de actualización.
- Esta actualización aplica únicamente para bases de datos en versión 8.0.165.
- Si se tiene algún ajuste personalizado en los archivos web.config, debe volver aplicar el ajuste.
- CHAT: A partir de la versión Chrome 62 se bloqueó el acceso a las notificaciones Web Push para conexiones no seguras HTTP. Sólo serán soportadas estas notificaciones con el protocolo HTTPS.
- En el motor de DB Oracle el tamaño máximo del contenido de un artículo es de 32.000 caracteres. Si requiere incluir imágenes se recomienda utilizar imágenes de URL pública o vinculadas a un repositorio remoto. De esta forma al almacenarse en DB serán referenciadas con la URL de la imagen y ocupando menor espacio. No se recomienda pegar imágenes locales ya que se referencian como imágenes completas en base64.
- Los tag´s correspondientes a campos que son HTML como descripción, solución y notas, no aplicarán cambios de estilos.