Exiger la validation des entités XMLdoc2 avec l’expansion des entités allowlistDisable [Mis à jour dans Centre de sécurité 1.3]
Si les personnalisations ne nécessitent pas l’expansion de l’entité, utilisez la propriété pour désactiver complètement l’expansion de l’entité glide.xmlutil.max_entity_expansion externe. Le code XML termine l’analyse, mais n’inclut aucune entité interne ou externe.
Si la propriété glide.stax.whitelist_enabled Glide n’existe pas dans la table Propriétés système [sys_properties] ou n’est pas définie sur la valeur recommandée vrai, toutes les entités externes sont autorisées lorsque la propriété glide.stax.allow_entity_resolution Glide est définie sur la valeur vrai.
Si les personnalisations ne nécessitent pas d’expansion d’entité, utilisez la propriété pour désactiver complètement l’expansion d’entité glide.stax.allow_entity_resolution externe. Le code XML termine l’analyse, mais n’inclut aucune entité interne ou externe.
- Si vous définissez glide.stax.allow_entity_resolution la valeur sur vrai, toutes les entités externes tentent de résoudre ou de développer les entités sujets, en fonction du paramètre de la glide.stax.whitelist_enabled propriété.
- Si vous définissez glide.stax.allow_entity_resolution la valeur sur faux, toute la résolution et l’expansion de l’entité sont bloquées. Pour en savoir plus sur cette propriété, reportez-vous à la section Désactiver l’expansion des entités dans l’analyseur de diffusion en continu XMLDocument2 [Mis à jour dans Centre de sécurité 1.5].
Lorsque glide.stax.whitelist_enabled est défini sur vrai, définissez une liste de FQDN délimités par des virgules dans la propriété glide.xml.entity.whitelist , qui sont les seules URL pouvant être atteintes à l’aide de la propriété de traitement d’entité XML. Pour en savoir plus, consultez Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0]. Les attaquants peuvent utiliser cette vulnérabilité pour étendre les données de manière exponentielle dans une attaque d’expansion d’entités externes (XXE), consommant rapidement toutes les ressources système.
Prérequis
- Définissez les propriétés et glide.xml.entity.whitelist.enabledglide.stax.whitelist_enabled sur vrai. Pour en savoir plus, consultez Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0].
- Définissez une liste de FQDN délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL pouvant être atteintes à l’aide de la propriété de traitement de l’entité XML. Pour en savoir plus, consultez Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0].
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.stax.whitelist_enabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Ce contrôle de rattrapage doit être activé pour se défendre contre une attaque XML Entity Expansion/Billion Laugh. |
| Valeur recommandée | vrai |
| Valeur par défaut | Faux |
| Cote de risque de sécurité | 9.8 |
| Impact fonctionnel | Si la personnalisation utilise l’expansion de l’entité, elle ServiceNow AI Platform peut bloquer tout traitement ultérieur. |
| Risque de sécurité | Un attaquant peut utiliser cette vulnérabilité pour étendre les données de manière exponentielle dans une attaque d’expansion d’entités externes (XXE), consommant rapidement toutes les ressources système. |
| Solution de contournement | Si la personnalisation nécessite le développement de l’entité, définissez cette propriété sur true et suivez les étapes décrites à la rubrique Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0]. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.
Pour plus d’informations sur les ressources OWASp, consultez OWASp.