Schwellenwert für Entitätserweiterung für skriptfähige GlideXMLUtil minimieren [aktualisiert in Security Center 1,3, 1,5 und 2,0]
Verwenden Sie glide.xmlutil.max_entity_expansionEigenschaft zum Ändern der maximalen Entitätserweiterungsgrenze auf eine kleinere Zahl.
Diese Eigenschaft steuert den maximalen Umfang der Entitätserweiterung in einem XML-Parser. Wenn glide.xmlutil.max_entity_expansionIst nicht auf den empfohlenen Wert von 3000 oder weniger festgelegt, kann das skriptfähige GlideXMLUtil-Analysegerät angreifbar für Denial-of-Service-Angriffe sein.
Stellen Sie die Eigenschaft sicher glide.xmlutil.max_entity_expansionIst auf maximal 3000 festgelegt. Wenn sich die Instanz in Washington oder höher befindet, ist der implizite Standardwert 3000, wenn der Datensatz „sys_properties“ nicht vorhanden ist. Wenn sich die Instanz nicht in Washington oder höher befindet, empfiehlt es sich, dass der Instanzadministrator einen sys_properties-Datensatz mit dem Namen erstellt glide.xmlutil.max_entity_expansionUnd der Wert 3000.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.xmlutil.max_entity_expansion |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen XML-Entitätserweiterungen/Milliarden-Lachen-Angriffe zu schützen. |
| Empfohlener Wert | 3000 |
| Standardwert | 100000 |
| Sicherheitsrisikobewertung | 5.3 |
| Funktionale Auswirkung | Wenn die Anpassung eine große Entitätserweiterung verwendet, dann die ServiceNow AI Platform Blockiert möglicherweise die weitere Verarbeitung. |
| Sicherheitsrisiko | (Mittel) ein Angreifer kann diese Schwachstelle verwenden, um Daten exponentiell zu erweitern und schnell alle Systemressourcen zu verbrauchen. |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.