Minimizar limite de expansão de entidade para GlideXMLUtil programável [Atualizado na Central de segurança 1,3, 1,5 e 2,0]
Use a propriedade glide.xmlutil.max_entity_expansion para alterar o limite máximo de expansão da entidade para um número menor.
Esta propriedade controla a quantidade máxima de expansão de entidade em um analisador de XML. Se glide.xmlutil.max_entity_expansionNão está definido com o valor recomendado de 3000 ou menos, então a análise GlideXMLUtil programável pode estar vulnerável a ataques de negação de serviço.
Certifique-se da propriedade glide.xmlutil.max_entity_expansiondefinido como 3000 ou menos. Se a instância estiver em Washington ou posterior, o valor implícito padrão será 3000 se o registro sys_properties não existir. Se a instância não estiver em Washington ou posterior, a recomendação será que o administrador da instância crie um registro sys_properties com o nome glide.xmlutil.max_entity_expansione o valor 3000.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.xmlutil.max_entity_expansion |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Este controle de correção deve ser habilitado para defesa contra ataques de expansão de entidade XML/Billion laughs. |
| Valor recomendado | 3000 |
| Valor padrão | 100.000 |
| Classificação de risco de segurança | 5,3 |
| Impacto funcional | Se a personalização estiver usando expansão de entidade grande, o ServiceNow AI Platform pode bloquear o processamento adicional. |
| Risco à segurança | (Moderado) Um invasor pode usar esta vulnerabilidade para expandir os dados de forma exponencial, consumindo rapidamente todos os recursos do sistema. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.