XMLDocument2 스트리밍 파서 내에서 엔터티 확장 사용 안 함 [Security Center 1.5에서 업데이트됨]
커스터마이제이션에 엔터티 확장이 필요하지 않은 경우 이 glide.stax.allow_entity_resolution 속성을 사용하여 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.
인스턴스에서 엔터티 확장을 비활성화하여 시스템 파일 읽기 기능, DoS(서비스 거부) 등의 공격으로부터 인스턴스를 보호합니다. 시스템 속성을 사용하여 스트리밍 파서(XMLDocument2)로 구문 분석하는 동안 XML 엔터티를 확장할 수 없도록 합니다.
인스턴스에서 엔터티 확장을 비활성화하려면 glide.stax.allow_entity_resolution 시스템 속성을 false 로 설정합니다. 이 속성이 시스템 속성 [sys_properties] 테이블에 나타나지 않으면 기본값은 true입니다. 속성 기록을 생성하고 값을 false 로 설정하여 값을 변경합니다.
필수 구성요소
이 속성을 설정하기 전에 다음을 수행하십시오.
- glide.xml.entity.whitelist.enabled and glide.stax.whitelist_enabled 속성을 true로 설정합니다. 자세한 내용은 및 allowlistDisable 엔터티 확장으로 XMLdoc2 엔터티 유효성 검사 필요[Security Center 1.3에서 업데이트됨]를 참조하십시오XML 외부 엔터티 제한 [Security Center 1.3 및 2.0에서 업데이트됨].
- XML 엔터티 처리를 사용하여 연결할 수 있는 유일한 URL인 속성에서 glide.xml.entity.whitelist 쉼표로 구분된 FQDN 목록을 정의합니다. 속성. 자세한 내용은 XML 외부 엔터티 제한 [Security Center 1.3 및 2.0에서 업데이트됨] 문서를 참조하십시오.
경고:
이는 세이프 하버 속성이므로 한 번 변경하면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.stax.allow_entity_resolution |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 삭제 및 인코딩 |
| 목적 | XML 엔터티 확장/10억 웃음 공격을 방어하려면 이 정정 제어를 활성화해야 합니다. |
| 권장 값 | 아니오 |
| 기본값 | 예 |
| 기능적 영향 | 커스터마이제이션에서 엔터티 확장을 사용하는 경우 ServiceNow AI Platform 추가 처리가 차단될 수 있습니다. |
| 보안 위험 | (중요) 공격자는 이 취약성을 사용하여 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소모할 수 있습니다. |
| 임시 해결책 | 커스터마이제이션에 엔터티 확장이 필요한 경우 이 속성을 true로 설정하고 에 설명된 allowlistDisable 엔터티 확장으로 XMLdoc2 엔터티 유효성 검사 필요[Security Center 1.3에서 업데이트됨]단계를 따릅니다. |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 Add a system property
OWASp 리소스에 대한 자세한 내용은 OWASp를 참조하세요.