Deaktivieren Sie die Entitätserweiterung im XMLDocument2-Streaming-Parser [Aktualisiert in Security Center 1,5]
Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie glide.stax.allow_entity_resolutionEigenschaft zum vollständigen Deaktivieren der Erweiterung externer Entitäten. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.
Deaktivieren Sie die Entitätserweiterung in Ihrer Instanz, um Ihre Instanz vor Angriffen wie der Fähigkeit, Systemdateien zu lesen, und Denial of Service zu schützen. Verwenden Sie die Systemeigenschaft, um zu verhindern, dass XML-Entitäten während der Analyse durch den Streaming-Parser (XMLDocument2) erweitert werden.
Legen Sie fest Glide.stax.allow_Entity_Resolution Systemeigenschaft zu Falsch Zum Deaktivieren der Entitätserweiterung in Ihrer Instanz. Wenn diese Eigenschaft nicht in der Tabelle „Systemeigenschaften“ [sys_properties] angezeigt wird, ist der Standardwert Wahr . Erstellen Sie den Eigenschaftsdatensatz, und legen Sie den Wert auf fest Falsch Um den Wert zu ändern.
Voraussetzungen
- Legen Sie fest glide.xml.entity.whitelist.enabledUnd glide.stax.whitelist_enabledEigenschaften auf „wahr“. Weitere Informationen finden Sie unter Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0] Und Validierung der XMLdoc2-Entität mit zulässiger Entitätserweiterung anfordern [aktualisiert in Security Center 1,3].
- Definieren Sie eine Liste von durch Kommas getrennten FQDN in glide.xml.entity.whitelistEigenschaft, die die einzigen URLs ist, die mit der Verarbeitung von XML-Entitäten erreicht werden können. Eigenschaft. Weitere Informationen finden Sie unter Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0].
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.stax.allow_entity_resolution |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen einen XML-Entitätserweiterungs-/Milliarden-Lachen-Angriff zu schützen. |
| Empfohlener Wert | falsch |
| Standardwert | wahr |
| Funktionale Auswirkung | Wenn für die Anpassung eine Entitätserweiterung verwendet wird, dann die ServiceNow AI Platform Blockiert möglicherweise die weitere Verarbeitung. |
| Sicherheitsrisiko | (Kritisch) ein Angreifer kann diese Schwachstelle verwenden, um Daten exponentiell zu erweitern und schnell alle Systemressourcen zu verbrauchen. |
| Workaround | Wenn die Anpassung eine Entitätserweiterung erfordert, legen Sie diese Eigenschaft auf „wahr“ fest, und befolgen Sie die in dokumentierten Schritte Validierung der XMLdoc2-Entität mit zulässiger Entitätserweiterung anfordern [aktualisiert in Security Center 1,3]. |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property
Weitere Informationen zu OWASP-Ressourcen finden Sie unter OWASP .