GlideXMLUtil スクリプト可能項目のエンティティ拡張しきい値を最小化する (セキュリティセンター 1.3、1.5、および 2.0 で更新)
glide.xmlutil.max_entity_expansion プロパティを使用して、エンティティ拡張の上限を小さい数値に変更します。
このプロパティは、XML パーサー内のエンティティ展開の最大量を制御します。glide.xmlutil.max_entity_expansion が推奨値の 3000 以下に設定されていない場合、GlideXMLUtil 解析スクリプト可能はサービス拒否攻撃に対して脆弱になる可能性があります。
プロパティ glide.xmlutil.max_entity_expansion が 3000 以下に設定されていることを確認します。インスタンスが Washington 以降にある場合、sys_propertiesレコードが存在しない場合、デフォルトの暗黙的な値は 3000 です。インスタンスが Washington 以降にない場合、インスタンスアドミンは、名前が glide.xmlutil.max_entity_expansion 、値が 3000 のsys_propertiesレコードを作成することをお勧めします。
注:
ServiceNow AI Platform によって設定されるデフォルトの最小値は 500 で、これは安全なしきい値と見なされています。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.xmlutil.max_entity_expansion |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | この修復コントロールは、XML エンティティ拡張/Billion Laugh 攻撃から防御するために有効にする必要があります。 |
| 推奨値 | 3,000 |
| デフォルト値 | 100000 |
| セキュリティリスク評価 | 5.3 |
| 機能への影響 | カスタマイズで大規模なエンティティ拡張を使用している場合、 ServiceNow AI Platform によって以降の処理がブロックされる可能性があります。 |
| セキュリティリスク | (中) 攻撃者はこの脆弱性を利用してデータを指数関数的に拡張し、すべてのシステムリソースを短時間で消費する可能性があります。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。