Desabilitar a expansão da entidade (proteção de segurança da instância)

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Se as personalizações não exigirem expansão de entidade, use a propriedade glide.stax.allow_entity_resolution para desabilitar completamente a expansão de entidade externa. O XML conclui a análise, mas não inclui entidades internas ou externas.

    • Se você definir esta propriedade como verdadeira, todas as entidades externas tentarão resolver ou expandir as entidades de assunto, sujeitas à configuração da propriedade glide.stax.whitelist_enabled.
    • Se você definir essa propriedade como falsa, todas as resoluções e expansões da entidade serão bloqueadas. Para saber mais, consulte Validação de entidade XMLdoc2 com lista de permissões.

    Pré-requisitos

    Antes de definir esta propriedade:

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.stax.allow_entity_resolution
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Configurar em Instance Security Center Sim
    Finalidade Este controle de correção deve ser habilitado para defesa contra um ataque de expansão de entidade XML/Billion laughs.
    Valor recomendado falso
    Impacto funcional (Baixo) Se a personalização estiver usando expansão de entidade, então, a Now Platform pode bloquear o processamento adicional.
    Risco à segurança (Alto) Um invasor pode usar esta vulnerabilidade para expandir os dados de forma exponencial, consumindo rapidamente todos os recursos do sistema.
    Solução alternativa Se a personalização exigir expansão da entidade, defina esta propriedade como verdadeira e siga as etapas documentadas na Validação de entidade XMLdoc2 com lista de permissões.

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.

    Para obter mais informações sobre os recursos OWASp, consulte OWASp.