Como minimizar o limite de expansão da entidade para GlideXMLUtil programável [Atualizado na Central de segurança 1.3, 1.5 e 2.0]
Use a propriedade glide.xmlutil.max_entity_expansion para alterar o limite máximo de expansão da entidade para um número menor.
Esta propriedade controla a quantidade máxima de expansão de entidade em um analisador de XML. Se glide.xmlutil.max_entity_expansion não estiver definido com o valor recomendado de 3000 ou menos, o script de análise GlideXMLUtil poderá estar vulnerável a ataques de negação de serviço.
Certifique-se de que a propriedade glide.xmlutil.max_entity_expansion esteja definida como 3000 ou menos. Se a instância estiver em Washington ou posterior, o valor implícito padrão será 3000 se o registro sys_properties não existir. Se a instância não estiver em Washington ou posterior, a recomendação é que o administrador da instância crie um registro sys_properties com o nome glide.xmlutil.max_entity_expansion e o valor 3000.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.xmlutil.max_entity_expansion |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Este controle de correção deve ser habilitado para defesa contra ataques de expansão de entidade XML/Billion laughs. |
| Valor recomendado | 3000 |
| Valor padrão | 100.000 |
| Classificação de risco de segurança | 5,3 |
| Impacto funcional | Se a personalização estiver usando expansão de entidade grande, Now Platform poderá bloquear o processamento adicional. |
| Risco à segurança | (Moderado) Um invasor pode usar esta vulnerabilidade para expandir os dados de forma exponencial, consumindo rapidamente todos os recursos do sistema. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.