Entitätserweiterung im XMLDocument2-Streaming-Parser deaktivieren [Aktualisiert in Security Center 1.5]
Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie die Eigenschaft glide.stax.allow_entity_resolution, um die externe Entitätserweiterung vollständig zu deaktivieren. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.
- Wenn Sie diese Eigenschaft auf truefestlegen, versuchen alle externen Entitäten, abhängig von der Einstellung in der Eigenschaft glide.stax.whitelist_enabled, die betreffenden Entitäten aufzulösen oder zu erweitern.
- Wenn Sie diese Eigenschaft auf falsefestlegen, werden alle Auflösungen und Erweiterungen von Entitäten blockiert. Weitere Informationen finden Sie unter Validierung von XMLdoc2-Entitäten mit weißer Liste.
Voraussetzungen
Vor dem Festlegen dieser Eigenschaft:
- Legen Sie die Eigenschaften glide.xml.entity.whitelist.enabled und glide.stax.whitelist_enabled auf „wahr“ fest. Weitere Informationen finden Sie unter Validierung von XMLdoc/XMLUtil-Entitäten mit weißer Liste und Validierung von XMLdoc2-Entitäten mit weißer Liste .
- Definieren Sie eine Liste von kommagetrennten FQDNs in der Eigenschaft glide.xml.entity.whitelist, den einzigen URLs, die über die Verarbeitung von XML-Entitäten erreicht werden können. Eigenschaft. Weitere Informationen finden Sie unter Verarbeitung externer XML-Entitäten – weiße Liste.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.stax.allow_entity_resolution |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Authentifizierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen einen Angriff der XML-Entitätserweiterung/Billion Leign zu schützen. |
| Empfohlener Wert | falsch |
| Standardwert | wahr |
| Funktionale Auswirkung | (Niedrig) Wenn die Anpassung die Entitätserweiterung verwendet, blockiert Now Platform möglicherweise die weitere Verarbeitung. |
| Sicherheitsrisiko | (Kritisch) Ein Angreifer kann diese Schwachstelle nutzen, um Daten exponentiell zu erweitern, wodurch schnell alle Systemressourcen verbraucht werden. |
| Workaround | Wenn die Anpassung eine Entitätserweiterung erfordert, legen Sie diese Eigenschaft auf „true“ fest, und befolgen Sie die in XMLdoc2-Entitätsvalidierungdokumentierten Schritte mit weißer Liste . |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property
Weitere Informationen zu OWASp-Ressourcen finden Sie unter OWASp.