allowlistDisable 엔터티 확장으로 XMLdoc2 엔터티 유효성 검사 필요[Security Center 1.3에서 업데이트됨]

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • 커스터마이제이션에 엔터티 확장이 필요하지 않은 경우 이 glide.xmlutil.max_entity_expansion 속성을 사용하여 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.

    Glide 속성이 glide.stax.whitelist_enabled 시스템 속성 [sys_properties] 테이블에 없거나 권장 값인 true로 설정되지 않은 경우 Glide 속성이 glide.stax.allow_entity_resolutiontrue 값으로 설정되면 모든 외부 엔터티가 허용됩니다.

    사용자 지정에 엔터티 확장이 필요하지 않은 경우 속성을 glide.stax.allow_entity_resolution 사용하여 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.

    glide.stax.whitelist_enabledtrue로 설정된 경우 XML 엔터티 처리 속성을 사용하여 연결할 수 있는 유일한 URL인 glide.xml.entity.whitelist 속성에서 쉼표로 구분된 FQDN 목록을 정의합니다. 자세한 내용은 XML 외부 엔터티 제한 [Security Center 1.3 및 2.0에서 업데이트됨] 문서를 참조하십시오. 공격자는 이 취약점을 사용하여 XXE(External Entities Expansion) 공격에서 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소비할 수 있습니다.

    필수 구성요소

    이 속성을 설정하기 전에 다음을 수행하십시오.
    경고:
    이는 세이프 하버 속성이므로 한 번 변경하면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.

    추가 정보

    속성 설명
    속성 이름 glide.stax.whitelist_enabled
    구성 유형 시스템 속성(/sys_properties_list.do)
    범주 확인, 삭제 및 인코딩
    목적 XML 엔터티 확장/10억 웃음 공격을 방어하려면 이 정정 제어를 활성화해야 합니다.
    권장 값
    기본값 아니오
    보안 위험 등급 9.8
    기능적 영향 커스터마이제이션에서 엔터티 확장을 사용하는 경우 ServiceNow AI Platform 추가 처리가 차단될 수 있습니다.
    보안 위험 공격자는 이 취약성을 사용하여 XXE(External Entities Expansion) 공격에서 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소모할 수 있습니다.
    임시 해결책 커스터마이제이션에 엔터티 확장이 필요한 경우 이 속성을 true로 설정하고 에 설명된 XML 외부 엔터티 제한 [Security Center 1.3 및 2.0에서 업데이트됨]단계를 따릅니다.

    시스템 속성 추가 또는 작성에 대한 자세한 내용은 다음 문서를 참조하십시오 Add a system property.

    OWASp 리소스에 대한 자세한 내용은 OWASp를 참조하세요.