Schwellenwert für die Entitätserweiterung für skriptfähiges GlideXMLUtil minimieren [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
Verwenden Sie die Eigenschaft glide.xmlutil.max_entity_expansion, um die maximale Entitätserweiterungsgrenze in eine kleinere Zahl zu ändern.
Diese Eigenschaft steuert den maximalen Umfang der Entitätserweiterung in einem XML-Parser. Wenn glide.xmlutil.max_entity_expansion nicht auf den empfohlenen Wert von 3000 oder weniger festgelegt ist, ist der skriptfähige GlideXMLUtil-Parser möglicherweise angreifbar für Denial-of-Service-Angriffe.
Stellen Sie sicher, dass die Eigenschaft glide.xmlutil.max_entity_expansion auf 3000 oder weniger festgelegt ist. Wenn sich die Instanz auf Washington oder höher befindet, ist der implizite Standardwert 3000, wenn der Datensatz „sys_properties“ nicht vorhanden ist. Wenn sich die Instanz nicht auf Washington oder höher befindet, wird dem Instanzadministrator empfohlen, einen sys_properties-Datensatz mit dem Namen glide.xmlutil.max_entity_expansion und dem Wert 3000 zu erstellen.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.xmlutil.max_entity_expansion |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen XML-Entitätserweiterungs-/Billion-Lach-Angriffe zu schützen. |
| Empfohlener Wert | 3000 |
| Standardwert | 100000 |
| Sicherheitsrisikobewertung | 5.3 |
| Funktionale Auswirkung | Wenn die Anpassung eine große Entitätserweiterung verwendet, blockiert Now Platform möglicherweise die weitere Verarbeitung. |
| Sicherheitsrisiko | (Mittel) Ein Angreifer kann diese Schwachstelle nutzen, um Daten exponentiell zu erweitern, wodurch schnell alle Systemressourcen verbraucht werden. |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.