Exigência de validação da entidade XMLdoc2 com expansão da entidade allowlistDisable [Atualizado na Central de segurança 1.3]
Se as personalizações não exigirem expansão de entidade, use a propriedade glide.xmlutil.max_entity_expansion para desabilitar completamente a expansão de entidade externa. O XML conclui a análise, mas não inclui entidades internas ou externas.
- Se você definir esta propriedade como verdadeira, todas as entidades externas tentarão resolver ou expandir as entidades de assunto, sujeitas à configuração da propriedade glide.stax.whitelist_enabled.
- Se você definir essa propriedade como falsa, todas as resoluções e expansões da entidade serão bloqueadas. Para saber mais, consulte Validação de entidade XMLdoc2 com lista de permissões.
Pré-requisitos
Antes de definir esta propriedade:
- Defina as propriedades glide.xml.entity.whitelist.enabled e glide.stax.whitelist_enabled como verdadeiras. Para aprender mais, consulte Validação de entidade XMLdoc/XMLUtil com lista de permissões e Validação de entidade XMLdoc2 com lista de permissões.
- Defina uma lista de FQDN delimitada por vírgulas na propriedade glide.xml.entity.whitelist, que são os únicos URLs que podem ser acessados usando a propriedade de processamento de entidade de XML. Para saber mais, consulte Processamento de entidade externa XML - lista de permissões.
Aviso:
Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.stax.whitelist_enabled |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Este controle de correção deve ser habilitado para defesa contra um ataque de expansão de entidade XML/Billion laughs. |
| Valor recomendado | verdadeiro |
| Valor-padrão | falso |
| Classificação de risco de segurança | 9,8 |
| Impacto funcional | (Baixo) Se a personalização estiver usando expansão de entidade, então, a Now Platform pode bloquear o processamento adicional. |
| Risco à segurança | (Crítico) Um invasor pode usar esta vulnerabilidade para expandir os dados de forma exponencial, consumindo rapidamente todos os recursos do sistema. |
| Solução alternativa | Se a personalização exigir expansão da entidade, defina esta propriedade como verdadeira e siga as etapas documentadas na Validação de entidade XMLdoc2 com lista de permissões. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.
Para obter mais informações sobre os recursos OWASp, consulte OWASp.