許可された MIME 子タイプを設定する (セキュリティセンター 2.0 の新機能)
glide.security.mime.type.allowed_child_types プロパティを安全な設定に構成して、ファイルタイプが多目的インターネットメール拡張 (MIME) タイプのチェックに合格しないようにする方法について説明します。これにより、アップロードされたファイルで、リモートでコードが実行されるリスクが軽減されます。
glide.security.mime.type.allowed_child_types プロパティは、ファイル拡張子がアップロードされたファイル内のデータと一致しない可能性がある MIME ファイルタイプを定義します。これにより、そのようなファイルタイプは MIME タイプのチェックをバイパスできます。このプロパティは、ファイルタイプペア (application/zip=application/java-archive など) のカンマ区切りリストを受け入れます。この例では、プロパティがそのような値に設定されている場合、技術的には.jarファイルである拡張子が .zip のファイルは、不整合があっても MIME タイプのチェックに合格できます。正しく設定されていない場合、このバイパスにより、アップロードされたファイルのリモートコード実行が発生する可能性があります。そのため、有効なユースケースが発生しない限り、常に空の文字列 ("") に設定する必要があります。たとえば、特定の MIME タイプが別のファイル拡張子で許可される必要があり、Tika の設定に従って有効な場合、それらのキーと値のペアはこのプロパティ値の一部として更新されます。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | glide.security.mime.type.allowed_child_types |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | 文字列 |
| 推奨値 | "" |
| デフォルト値 | "" |
| カテゴリ | ファイルとリソース |
| セキュリティリスク |
|
| 依存関係と前提条件 | はい、glide.security.mime.type.detection.allow_child_types が true に設定されている場合、このプロパティの値が、許可された MIME 子タイプの構成済みリストに対する検証に使用されます。 |
| 機能への影響 | ファイル拡張子がファイルの内容と一致しないが、tika-mimetypes.xml の Tika サブタイプ構成に従って有効な MIME タイプをサポートするため。 |