Désactiver l’expansion des entités dans l’analyseur de diffusion en continu XMLDocument2 [Mis à jour dans Centre de sécurité 1.5]
Si les personnalisations ne nécessitent pas l’expansion de l’entité, utilisez la propriété pour désactiver complètement l’expansion de l’entité glide.stax.allow_entity_resolution externe. Le code XML termine l’analyse, mais n’inclut aucune entité interne ou externe.
Désactivez l’expansion de l’entité sur votre instance pour la sécuriser contre les attaques telles que la capacité à lire des fichiers système et le déni de service. Utilisez la propriété système pour interdire le développement des entités XML lors de l’analyse par l’analyseur de diffusion (XMLDocument2).
Définissez la propriété système glide.stax.allow_entity_resolution sur faux pour désactiver l’expansion de l’entité sur votre instance. Si cette propriété n’apparaît pas dans la table Propriétés système [sys_properties], la valeur par défaut est vrai. Créez l’enregistrement de propriété et définissez la valeur sur faux pour modifier sa valeur.
Prérequis
- Définissez les propriétés et glide.xml.entity.whitelist.enabledglide.stax.whitelist_enabled sur vrai. Pour en savoir plus, reportez-vous aux sections Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0] et Exiger la validation des entités XMLdoc2 avec l’expansion des entités allowlistDisable [Mis à jour dans Centre de sécurité 1.3].
- Définissez une liste de FQDN délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL pouvant être atteintes à l’aide du traitement d’entité XML. Pour en savoir plus, consultez Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0].
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.stax.allow_entity_resolution |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Ce contrôle de rattrapage doit être activé pour se défendre contre une attaque XML Entity Expansion/Billion Laugh. |
| Valeur recommandée | Faux |
| Valeur par défaut | vrai |
| Impact fonctionnel | Si la personnalisation utilise l’expansion de l’entité, elle ServiceNow AI Platform peut bloquer tout traitement ultérieur. |
| Risque de sécurité | (Critique) Un attaquant peut utiliser cette vulnérabilité pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources système. |
| Solution de contournement | Si la personnalisation nécessite le développement de l’entité, définissez cette propriété sur true et suivez les étapes décrites à la rubrique Exiger la validation des entités XMLdoc2 avec l’expansion des entités allowlistDisable [Mis à jour dans Centre de sécurité 1.3]. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, voir Add a system property
Pour plus d’informations sur les ressources OWASp, consultez OWASp.