Exiger la validation des entités XMLdoc2 avec liste d’autorisation
Si les personnalisations ne nécessitent pas l’expansion de l’entité, utilisez la propriété pour désactiver complètement l’expansion de l’entité glide.xmlutil.max_entity_expansion externe. Le code XML termine l’analyse, mais n’inclut aucune entité interne ou externe.
Si la propriété glide.stax.whitelist_enabled Glide n’existe pas dans la table Propriétés système [sys_properties] ou n’est pas définie sur la valeur recommandée vrai, toutes les entités externes sont autorisées lorsque la propriété glide.stax.allow_entity_resolution Glide est définie sur la valeur vrai.
Si les personnalisations ne nécessitent pas d’expansion d’entité, utilisez la propriété pour désactiver complètement l’expansion d’entité glide.stax.allow_entity_resolution externe. Le code XML termine l’analyse, mais n’inclut aucune entité interne ou externe.
- Si vous définissez glide.stax.allow_entity_resolution la valeur sur vrai, toutes les entités externes tentent de résoudre ou de développer les entités sujets, en fonction du paramètre de la glide.stax.whitelist_enabled propriété.
- Si vous définissez glide.stax.allow_entity_resolution la valeur sur faux, toute la résolution et l’expansion de l’entité sont bloquées. Pour en savoir plus sur cette propriété, reportez-vous à la section Désactiver l'expansion des entités dans l'analyseur de diffusion en continu XMLDocument2.
Lorsque glide.stax.whitelist_enabled est défini sur vrai, définissez une liste de FQDN délimités par des virgules dans la propriété glide.xml.entity.whitelist , qui sont les seules URL pouvant être atteintes à l’aide de la propriété de traitement d’entité XML. Pour en savoir plus, consultez Restreindre les entités externes XML. Les attaquants peuvent utiliser cette vulnérabilité pour étendre les données de manière exponentielle dans une attaque d’expansion d’entités externes (XXE), consommant rapidement toutes les ressources système.
Prérequis
- Définissez les propriétés et glide.xml.entity.whitelist.enabledglide.stax.whitelist_enabled sur vrai. Pour en savoir plus, consultez Restreindre les entités externes XML.
- Définissez une liste de FQDN délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL pouvant être atteintes à l’aide de la propriété de traitement d’entité XML. Pour en savoir plus, consultez Restreindre les entités externes XML.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.stax.whitelist_enabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Ce contrôle de remédiation doit être activé pour se défendre contre une attaque XML Entity Expansion/Billion Laugh. |
| Valeur recommandée | VRAI |
| Valeur par défaut | VRAI |
| Cote de risque de sécurité | 9.8 |
| Impact fonctionnel | Si la personnalisation utilise l’expansion de l’entité, elle peut bloquer tout ServiceNow AI Platform traitement ultérieur. |
| Risque de sécurité | Un attaquant peut utiliser cette vulnérabilité pour étendre les données de manière exponentielle dans une attaque d’expansion d’entités externes (XXE), consommant rapidement toutes les ressources système. |
| Solution de contournement | Si la personnalisation nécessite l’expansion de l’entité, définissez cette propriété sur vrai et suivez les étapes décrites à la section Restreindre les entités externes XML. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.
Pour plus d’informations sur les ressources OWASp, consultez OWASp.