XMLdoc2-Entitätsvalidierung mit allowlistDisable-Entitätserweiterung erfordern [Aktualisiert in Security Center 1.3]
Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie die Eigenschaft glide.xmlutil.max_entity_expansion, um die externe Entitätserweiterung vollständig zu deaktivieren. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.
Fordern Sie die Validierung der XMLdoc2-Entität an, um zu verhindern, dass Angreifer Daten exponentiell erweitern und Ihre Systemressourcen verbrauchen.
Wenn die Systemeigenschaft „glide.stax.whitelist_enabled“ in der Tabelle „Systemeigenschaften“ [sys_properties] nicht vorhanden oder nicht auf den empfohlenen Wert truefestgelegt ist, sind alle externen Entitäten zulässig, wenn die Systemeigenschaft „glide.stax.allow_entity_resolution“ festgelegt ist auf den Wert true. Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie die Systemeigenschaft „glide.stax.allow_entity_resolution“, um die externe Entitätserweiterung zu deaktivieren. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.
- Wenn Sie „glide.stax.allow_entity_resolution“ auf „true“festlegen, versuchen alle externen Entitäten, die betreffenden Entitäten aufzulösen oder zu erweitern, abhängig von der Einstellung der Eigenschaft „glide.stax.whitelist_enabled“.
- Wenn Sie „glide.stax.allow_entity_resolution“ auf „false“festlegen, werden alle Entitätslösungen und -erweiterungen blockiert. Weitere Informationen zu dieser Eigenschaft finden Sie unter Entitätserweiterung im XMLDocument2-Streaming-Parser deaktivieren [Aktualisiert in Security Center 1.5].
Wenn „glide.stax.whitelist_enabled“ auf „true“festgelegt ist, definieren Sie eine Liste von durch Kommas getrennten FQDNs in der Eigenschaft glide.xml.entity.whitelist. Dies sind die einzigen URLs, die über die Eigenschaft „XML-Entitätsverarbeitung“ erreicht werden können. Weitere Informationen finden Sie unter Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert]. Angreifer können diese Schwachstelle nutzen, um Daten in einem XXE-Angriff (External Entities Extension) exponentiell zu erweitern, wodurch schnell alle Systemressourcen verbraucht werden.
Voraussetzungen
- Legen Sie die Eigenschaften glide.xml.entity.whitelist.enabled und glide.stax.whitelist_enabled auf truefest. Weitere Informationen finden Sie unter Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert].
- Definieren Sie eine Liste von kommagetrennten FQDNs in der Eigenschaft glide.xml.entity.whitelist, den einzigen URLs, die über die Verarbeitungseigenschaft für XML-Entitäten erreicht werden können. Weitere Informationen finden Sie unter Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert].
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.stax.whitelist_enabled |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen einen Angriff der XML-Entitätserweiterung/Billion Leign zu schützen. |
| Empfohlener Wert | wahr |
| Standardwert | falsch |
| Sicherheitsrisikobewertung | 9.8 |
| Funktionale Auswirkung | Wenn die Anpassung die Entitätserweiterung verwendet, kann Now Platform die weitere Verarbeitung blockieren. |
| Sicherheitsrisiko | (Kritisch) Ein Angreifer kann diese Schwachstelle nutzen, um Daten exponentiell zu erweitern, wodurch schnell alle Systemressourcen verbraucht werden. |
| Workaround | Wenn die Anpassung eine Erweiterung der Entität erfordert, legen Sie diese Eigenschaft auf „true“ fest, und befolgen Sie die in Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert]dokumentierten Schritte. |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.
Weitere Informationen zu OWASp-Ressourcen finden Sie unter OWASp.