Validierung der XMLdoc2-Entität mit zulässiger Entitätserweiterung anfordern [aktualisiert in Security Center 1,3]
Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie glide.xmlutil.max_entity_expansionEigenschaft zum vollständigen Deaktivieren der Erweiterung externer Entitäten. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.
Wenn die Glide-Eigenschaft ist glide.stax.whitelist_enabledIst in der Tabelle „Systemeigenschaften“ [sys_properties] nicht vorhanden oder nicht auf den empfohlenen Wert festgelegt Wahr , Dann sind alle externen Entitäten zulässig, wenn die Glide-Eigenschaft verwendet wird glide.stax.allow_entity_resolutionIst auf den Wert von festgelegt Wahr .
Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie glide.stax.allow_entity_resolutionEigenschaft zum vollständigen Deaktivieren der Erweiterung externer Entitäten. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.
- Wenn Sie festgelegt haben glide.stax.allow_entity_resolutionBis Wahr , Alle externen Entitäten versuchen, Betreffentitäten aufzulösen oder zu erweitern, abhängig von der Einstellung von glide.stax.whitelist_enabledEigenschaft.
- Wenn Sie festgelegt haben glide.stax.allow_entity_resolutionBis Falsch , Alle Entitätsauflösungen und -Erweiterungen sind blockiert. Weitere Informationen zu dieser Eigenschaft finden Sie unter Deaktivieren Sie die Entitätserweiterung im XMLDocument2-Streaming-Parser [Aktualisiert in Security Center 1,5].
Wenn Glide.stax.Whitelist_enabled Ist auf festgelegt Wahr , Definieren Sie eine Liste von durch Kommas getrennten FQDN in Glide.xml.Entität.Whitelist Eigenschaft, die die einzigen URLs sind, die mit der Verarbeitungseigenschaft der XML-Entität erreicht werden können. Weitere Informationen finden Sie unter Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0]. Angreifer können diese Schwachstelle verwenden, um Daten bei einem XXE-Angriff (External Entities Expansion) exponentiell zu erweitern und schnell alle Systemressourcen zu verbrauchen.
Voraussetzungen
- Legen Sie fest glide.xml.entity.whitelist.enabledUnd glide.stax.whitelist_enabledEigenschaften bis Wahr . Weitere Informationen finden Sie unter Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0].
- Definieren Sie eine Liste von durch Kommas getrennten FQDN in glide.xml.entity.whitelistEigenschaft, die die einzigen URLs ist, die mit der Verarbeitungseigenschaft der XML-Entität erreicht werden können. Weitere Informationen finden Sie unter Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0].
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.stax.whitelist_enabled |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen einen XML-Entitätserweiterungs-/Milliarden-Lachen-Angriff zu schützen. |
| Empfohlener Wert | wahr |
| Standardwert | falsch |
| Sicherheitsrisikobewertung | 9.8 |
| Funktionale Auswirkung | Wenn für die Anpassung eine Entitätserweiterung verwendet wird, dann die ServiceNow AI Platform Blockiert möglicherweise die weitere Verarbeitung. |
| Sicherheitsrisiko | Ein Angreifer kann diese Schwachstelle verwenden, um Daten bei einem XXE-Angriff (External Entities Expansion) exponentiell zu erweitern und schnell alle Systemressourcen zu verbrauchen. |
| Workaround | Wenn die Anpassung eine Entitätserweiterung erfordert, legen Sie diese Eigenschaft auf „wahr“ fest, und befolgen Sie die in dokumentierten Schritte Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0]. |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.
Weitere Informationen zu OWASP-Ressourcen finden Sie unter OWASP .