Entitätserweiterung im XMLDocument2-Streaming-Parser deaktivieren [Aktualisiert in Security Center 1.5]
Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie die Eigenschaft glide.stax.allow_entity_resolution, um die externe Entitätserweiterung vollständig zu deaktivieren. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.
Deaktivieren Sie die Entitätserweiterung auf Ihrer Instanz, um Ihre Instanz vor Angriffen wie der Fähigkeit, Systemdateien zu lesen, und Denial of Service zu schützen. Verwenden Sie die Systemeigenschaft, um zu verhindern, dass XML-Entitäten während der Analyse durch den Streaming-Parser (XMLDocument2) erweitert werden.
Legen Sie die Systemeigenschaft „glide.stax.allow_entity_resolution“ auf „false“ fest, um die Entitätserweiterung in Ihrer Instanz zu deaktivieren. Wenn diese Eigenschaft nicht in der Tabelle „Systemeigenschaften“ [sys_properties] angezeigt wird, ist der Standardwert true. Erstellen Sie den Eigenschaftsdatensatz, und legen Sie den Wert auf „falsch“ fest, um dessen Wert zu ändern.
Voraussetzungen
- Legen Sie die Eigenschaften glide.xml.entity.whitelist.enabled und glide.stax.whitelist_enabled auf „wahr“ fest. Weitere Informationen finden Sie unter Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert] und XMLdoc2-Entitätsvalidierung mit allowlistDisable-Entitätserweiterung erfordern [Aktualisiert in Security Center 1.3].
- Definieren Sie eine Liste von kommagetrennten FQDNs in der Eigenschaft glide.xml.entity.whitelist, den einzigen URLs, die über die Verarbeitung von XML-Entitäten erreicht werden können. Eigenschaft. Weitere Informationen finden Sie unter Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert].
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.stax.allow_entity_resolution |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen einen Angriff der XML-Entitätserweiterung/Billion Leign zu schützen. |
| Empfohlener Wert | falsch |
| Standardwert | wahr |
| Funktionale Auswirkung | Wenn die Anpassung die Entitätserweiterung verwendet, kann Now Platform die weitere Verarbeitung blockieren. |
| Sicherheitsrisiko | (Kritisch) Ein Angreifer kann diese Schwachstelle nutzen, um Daten exponentiell zu erweitern, wodurch schnell alle Systemressourcen verbraucht werden. |
| Workaround | Wenn die Anpassung eine Erweiterung der Entität erfordert, legen Sie diese Eigenschaft auf „true“ fest, und befolgen Sie die in XMLdoc2-Entitätsvalidierung mit allowlistDisable-Entitätserweiterung erfordern [Aktualisiert in Security Center 1.3]dokumentierten Schritte. |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property
Weitere Informationen zu OWASp-Ressourcen finden Sie unter OWASp.