allowlistDisable 엔터티 확장으로 XMLdoc2 엔터티 유효성 검사 필요[Security Center 1.3에서 업데이트됨]

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 02월 11일
  • 읽기3분

    • 커스터마이제이션에 엔터티 확장이 필요하지 않은 경우 이 glide.xmlutil.max_entity_expansion 속성을 사용하여 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.

    공격자가 데이터를 기하급수적으로 확장하고 시스템 자원을 소비하지 못하도록 XMLdoc2 엔터티 유효성 검사가 필요합니다.

    glide.stax.whitelist_enabled 시스템 속성이 시스템 속성 [sys_properties] 테이블에 없거나 권장 값인 true로 설정되지 않은 경우 glide.stax.allow_entity_resolution 시스템 속성이 true 값으로 설정되면 모든 외부 엔터티가 허용됩니다. 커스터마이제이션에 엔터티 확장이 필요하지 않은 경우 glide.stax.allow_entity_resolution 시스템 속성을 사용하여 외부 엔터티 확장을 사용하지 않도록 설정합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.

    glide.stax.whitelist_enabledtrue로 설정된 경우 XML 엔터티 처리 속성을 사용하여 연결할 수 있는 유일한 URL인 glide.xml.entity.whitelist 속성에서 쉼표로 구분된 FQDN 목록을 정의합니다. 자세한 내용은 XML 외부 엔터티 제한 [Security Center 1.3 및 2.0에서 업데이트됨] 문서를 참조하십시오. 공격자는 이 취약점을 사용하여 XXE(External Entities Expansion) 공격에서 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소비할 수 있습니다.

    필수 구성요소

    이 속성을 설정하기 전에 다음을 수행하십시오.
    경고:
    이는 세이프 하버 속성이므로 한 번 변경하면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.

    추가 정보

    속성 설명
    속성 이름 glide.stax.whitelist_enabled
    구성 유형 시스템 속성(/sys_properties_list.do)
    범주 확인, 삭제 및 인코딩
    목적 XML 엔터티 확장/10억 웃음 공격을 방어하려면 이 정정 제어를 활성화해야 합니다.
    권장 값
    기본값 거짓
    보안 위험 등급 9.8
    기능적 영향 커스터마이제이션에서 엔터티 확장을 사용하는 경우 Now Platform 추가 처리가 차단될 수 있습니다.
    보안 위험 (중요) 공격자는 이 취약성을 사용하여 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소모할 수 있습니다.
    임시 해결책 커스터마이제이션에 엔터티 확장이 필요한 경우 이 속성을 true로 설정하고 에 설명된 XML 외부 엔터티 제한 [Security Center 1.3 및 2.0에서 업데이트됨]단계를 따릅니다.

    시스템 속성 추가 또는 생성에 대한 자세한 내용은 문서를 참조하십시오 Add a system property.

    OWASp 리소스에 대한 자세한 내용은 OWASp를 참조하세요.