PT
Español
English
Português
    Nota de versão Aranda Service Desk V8 8.29.26

    PROCESSO PM-48825-19-201443

    Aprimoramento de segurança implementado por meio da inclusão de um filtro <denyQueryStringSequences>. Esse filtro impede que solicitações com sequências do tipo “password=” ou “username=” sejam consideradas válidas na solicitação correspondente no console da web do usuário (USDKV8).

    PROCESSO PM-48957-19-201450

    Ajustes são feitos na API do Aranda Service Desk (ASDKAPI) para resolver o problema de segurança em instâncias relatadas como vulneráveis. Uma configuração de cabeçalho “Cache-Control: no-store” é implementada para evitar o armazenamento em cache de respostas.

    PROCESSO PM-49015-19-201456

    Para resolver o problema de segurança relatado, recomendamos que você atualize para a versão mais recente do .NET Framework, do Microsoft Internet Information Server (IIS) e do sistema operacional no servidor no qual a ferramenta Aranda Service Desk (ASDK) está instalada.

    PROCESSO PM-49022-19-201458

    Um ajuste é feito na API do Aranda Service Desk (ASDKAPI) para resolver um problema de segurança identificado na instância relatada como vulnerável. Essa configuração inclui uma alteração no método de consumo, que agora retorna um valor vazio se você não tiver uma configuração registrada. Como resultado, o servidor poderá identificar o tipo de resposta e enviá-lo no cabeçalho “Content-Type: application/octet-stream”.

    PROCESSO PM-49029-19-201459

    No arquivo web.config USDKV8, as diretivas script-src ‘self’, ‘unsafe-inline’, ‘unsafe-eval’ e object-src ‘none’ são adicionadas à Content-Security-Policy como uma medida de aprimoramento de segurança para garantir uma política de segurança de conteúdo forte.

    Não foram introduzidas alterações à directiva frame-ancestors, uma vez que as informações incluídas (teams.microsoft.com e *.arandasoft.com) corresponde aos domínios Aranda e Microsoft usados pelo Aranda Virtual Agent.

    Nota: Os ajustes de política foram feitos tendo em mente a compatibilidade com a estrutura do aplicativo.

    PROCESSO PM-49036-19-201460

    O aprimoramento de segurança (implementação do token exclusivo X-XSRF-Token) é aplicado às seguintes solicitações de console da Web do usuário (USDKV8) para habilitar a proteção CSRF (Cross Site Request Forgery):

    • Registar utilizadores: /api/v8.6/user/register Essa solicitação é usada pelo modo de exibição /usdkv8/app/modules/userregister/views/userregister.view.html
    • Login: /api/v8.6/usuário/login Essa solicitação é usada pelas exibições /usdkv8/app/modules/login/views/login.form.horizontal.html e /usdkv8/app/modules/login/views/login.form.vertical.html
    • Alterando a senha do usuário: /api/v8.6/user/updatepassword Essa solicitação é usada pelo modo de exibição /usdkv8/app/modules/login/views/login.changepassword.html
    • Atualizando dados adicionais do usuário: /api/v8.6/user/{userId}/update Essa solicitação é usada pelo modo de exibição /usdkv8/app/modules/userdetails/views/editprofile.view.html
    • Envio de itens por correio: /api/v8.6/article/sendemail Essa solicitação é usada pelo modo de exibição /usdkv8/app/modules/article/views/sendemailarticle.view.html

    PROCESSO PM-49086-19-201462

    Os ajustes são feitos no console da web do usuário (USDKV8) para resolver o problema de segurança relatado. O parâmetro ‘viewStateEncryptionMode=”Always”’ é implementado no arquivo ‘BadRequest.aspx’ para configurar o modo de criptografia do estado de exibição.

    PROCESSO PM-49090-19-201463

    Aprimoramento de segurança implementado com a inclusão de um filtro <denyQueryStringSequences>. Esse filtro impede que solicitações com sequências como “password=” ou “username=” sejam consideradas válidas na solicitação correspondente no console da web do usuário (USDKV8). Com esta solução, a vulnerabilidade relatada nas solicitações é superada:

    https://dominio/usdkv8/?password=]H[ww6KrA9F.x-F&switch-status=on&username= https://dominio/usdkv8/?password=]H[ww6KrA9F.x-F&&username= https://dominio/usdkv8/app/modules/login/views/login.form.horizontal.html?password=]H[ww6KrA9F.x-F&switch-status=on&username= https://dominio/usdkv8/app/modules/login/views/login.form.horizontal.html?password=]H[ww6KrA9F.x-F&&username=


    NOTAS OU INSTRUÇÕES ADICIONAIS:

    • Execute o arquivo “Aranda.ASDK.WebV8.Installer.exe” e siga as instruções do instalador.
    • O arquivo executável funciona como um instalador e uma ferramenta de atualização.
    • Esta atualização se aplica somente a bancos de dados na versão 8.0.165.
    • Se você tiver configurações personalizadas nos arquivos web.config, deverá reaplicar a configuração.
    • BATER PAPO: A partir do Chrome 62, o acesso às notificações Web Push para conexões HTTP não seguras foi bloqueado. Somente essas notificações serão suportadas com o protocolo HTTPS.
    • No mecanismo Oracle de banco de dados, o tamanho máximo do conteúdo de um artigo é de 32.000 caracteres. Se você precisar incluir imagens, recomendamos o uso de imagens com URLs públicas ou imagens vinculadas a um repositório remoto. Dessa forma, quando armazenados no banco de dados, eles serão referenciados com a URL da imagem e ocuparão menos espaço. Colar imagens locais não é recomendado, pois elas são referenciadas como imagens base64 completas.
    • As tags correspondentes a campos HTML, como descrição, solução e notas, não aplicarão alterações de estilo.