許可された MIME 子タイプを設定する (Security Center 2.0 の新機能)
ファイルの種類が MIME (Multipurpose Internet Mail Extensions) の種類チェックに合格しないように、 glide.security.mime.type.allowed_child_types プロパティをセキュリティで保護された設定に構成する方法について説明します。これにより、アップロードされたファイルに対してリモートでコードが実行されるリスクが軽減されます。
glide.security.mime.type.allowed_child_types プロパティは、ファイル拡張子がアップロードされたファイル内のデータと一致しない可能性がある MIME ファイルタイプを定義します。これにより、このようなファイルタイプは MIME タイプのチェックをバイパスできます。このプロパティは、ファイルタイプペアのカンマ区切りリスト ( application/zip=application/java-archive など) を受け入れます。この例では、プロパティがそのような値に設定されている場合、技術的に.jarファイルである拡張子.zipファイルは、不整合があっても MIME タイプのチェックに合格できます。適切に設定されていない場合、このバイパスはアップロードされたファイルのリモートコード実行につながる可能性があります。したがって、有効なユースケースが発生しない限り、常に空の文字列 ("") に設定する必要があります。たとえば、特定の MIME タイプを別のファイル拡張子で許可する必要があり、Tika 構成に従って有効である場合、これらのキーと値のペアはこのプロパティ値の一部として更新されます。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | glide.security.mime.type.allowed_child_types |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | 文字列 |
| 推奨値 | "" |
| デフォルト値 | "" |
| カテゴリ | ファイルとリソース |
| セキュリティリスク |
|
| 依存関係と前提条件 | はい。 glide.security.mime.type.detection.allow_child_types が true に設定されている場合、このプロパティの値は、許可された MIME 子タイプの構成済みリストと照合して検証するために使用されます。 |
| 機能への影響 | ファイル拡張子がファイルの内容と一致しないが、 tika-mimetypes.xml の Tika サブタイプ構成に従って有効な MIME タイプをサポートすること。 |