Minimiser le seuil d’expansion des entités pour GlideXMLUtil pouvant contenir des scripts [mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0]
Utilisez la glide.xmlutil.max_entity_expansion propriété pour réduire la limite maximale d’expansion de l’entité.
Cette propriété contrôle la quantité maximale d’expansions d’entité dans un analyseur XML. Si glide.xmlutil.max_entity_expansion elle n’est pas définie sur la valeur conseillée de 3 000 ou moins, le script d’analyse GlideXMLUtil peut être vulnérable aux attaques par déni de service.
Assurez-vous que la propriété glide.xmlutil.max_entity_expansion est définie sur 3 000 ou moins. Si l’instance est sur Washington ou une version ultérieure, la valeur implicite par défaut est 3 000 si l’enregistrement sys_properties n’existe pas. Si l’instance n’est pas sur Washington ou une version ultérieure, il est recommandé à l’administrateur de l’instance de créer un enregistrement de sys_properties avec le nom glide.xmlutil.max_entity_expansion et la valeur 3 000.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.xmlutil.max_entity_expansion |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Ce contrôle de rattrapage doit être activé pour se défendre contre les attaques d’expansion d’entité XML/Billion Laugh. |
| Valeur recommandée | 3000 |
| Valeur par défaut | 100000 |
| Cote de risque de sécurité | 5.3 |
| Impact fonctionnel | Si la personnalisation fait appel à l’expansion d’une grande entité, cela ServiceNow AI Platform peut bloquer tout traitement ultérieur. |
| Risque de sécurité | (Modéré) Un attaquant peut utiliser cette vulnérabilité pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources système. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.