allowlistDisable エンティティ拡張のある XMLdoc2 エンティティ検証を必須とする (セキュリティセンター 1.3 で更新)

  • リリースバージョン: Yokohama
  • 更新日 2025年02月11日
  • 所要時間:4分

    • カスタマイズでエンティティの拡張が必要ない場合は、glide.xmlutil.max_entity_expansion プロパティを使用して外部エンティティの拡張を完全に無効化します。XML は解析を完了しますが、内部または外部エンティティは含まれません。

    攻撃者がデータを指数関数的に拡張してシステムリソースを消費するのを防ぐために、XMLdoc2 エンティティ検証を要求します。

    glide.stax.whitelist_enabledシステムプロパティがシステムプロパティ [sys_properties] テーブルに存在しない場合、または推奨値の true に設定されていない場合、glide.stax.allow_entity_resolutionシステムプロパティの値が true に設定されていれば、すべての外部エンティティが許可されます。カスタマイズでエンティティの拡張が必要ない場合は、 glide.stax.allow_entity_resolution システムプロパティを使用して外部エンティティの拡張を無効にします。XML は解析を完了しますが、内部または外部エンティティは含まれません。

    glide.stax.whitelist_enabledが true に設定されている場合は、glide.xml.entity.whitelist プロパティでカンマ区切りの FQDN のリストを定義します。XML エンティティ処理プロパティを使用して到達できるのは、これらの URL のみです。詳細については、「XML 外部エンティティを制限する (セキュリティセンター 1.3 および 2.0 で更新)」を参照してください。攻撃者はこの脆弱性を利用して、外部エンティティ拡張 (XXE) 攻撃でデータを指数関数的に拡張し、すべてのシステムリソースを短時間で消費する可能性があります。

    前提条件

    このプロパティを設定する前に、次の手順を実行してください。
    警告:
    これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。

    詳細情報

    属性 説明
    プロパティ名 glide.stax.whitelist_enabled
    構成タイプ システムプロパティ (/sys_properties_list.do)
    カテゴリ 検証、サニタイズ、およびエンコーディング
    目的 この修復コントロールは、XML エンティティ拡張/Billion Laugh 攻撃から防御するために有効にする必要があります。
    推奨値 true
    デフォルト値 false
    セキュリティリスク評価 9.8
    機能への影響 カスタマイズでエンティティ拡張を使用している場合、 Now Platform が以降の処理をブロックする可能性があります。
    セキュリティリスク (重大) 攻撃者はこの脆弱性を利用してデータを指数関数的に拡張し、すべてのシステムリソースを短時間で消費する可能性があります。
    ワークアラウンド カスタマイズでエンティティ拡張が必要な場合は、このプロパティを true に設定し、「XML 外部エンティティを制限する (セキュリティセンター 1.3 および 2.0 で更新)」に記載されている手順を実行してください。

    システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。

    OWASp リソースの詳細については、「OWASp」を参照してください。