허용 목록으로 XMLdoc2 엔터티 확인 필요
사용자 지정에 엔터티 확장이 필요하지 않은 경우 이 속성을 사용하여 glide.xmlutil.max_entity_expansion 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.
Glide 속성이 glide.stax.whitelist_enabled 시스템 속성 [sys_properties] 테이블에 없거나 권장 값인 true로 설정되지 않은 경우 Glide 속성이 glide.stax.allow_entity_resolutiontrue 값으로 설정되면 모든 외부 엔터티가 허용됩니다.
사용자 지정에 엔터티 확장이 필요하지 않은 경우 속성을 glide.stax.allow_entity_resolution 사용하여 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티는 포함하지 않습니다.
- true로 설정하면 glide.stax.allow_entity_resolution 모든 외부 엔터티가 속성 설정에 glide.stax.whitelist_enabled 따라 주체 엔터티를 확인하거나 확장하려고 시도합니다.
- false로 설정하면 glide.stax.allow_entity_resolution 모든 엔터티 확인 및 확장이 차단됩니다. 이 속성에 대한 자세한 내용은 다음 문서를 참조하십시오 XMLDocument2 스트리밍 파서 내에서 엔터티 확장 사용 안 함.
glide.stax.whitelist_enabled가 true로 설정되면 XML 엔터티 처리 속성을 사용하여 연결할 수 있는 유일한 URL인 glide.xml.entity.whitelist 속성에 쉼표로 구분된 FQDN 목록을 정의합니다. 자세한 내용은 XML 외부 엔터티 제한 문서를 참조하십시오. 공격자는 이 취약점을 사용하여 XXE(External Entities Expansion) 공격에서 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소비할 수 있습니다.
필수 구성요소
- 및 glide.stax.whitelist_enabled 속성을 true로 설정합니다glide.xml.entity.whitelist.enabled. 자세한 내용은 XML 외부 엔터티 제한 문서를 참조하십시오.
- XML 엔터티 처리 속성을 사용하여 연결할 수 있는 유일한 URL인 속성에서 glide.xml.entity.whitelist 쉼표로 구분된 FQDN 목록을 정의합니다. 자세한 내용은 XML 외부 엔터티 제한 문서를 참조하십시오.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.stax.whitelist_enabled |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 위생 및 인코딩 |
| 목적 | XML 엔터티 확장/10억 웃음 공격을 방어하려면 이 정정 통제를 사용하도록 설정해야 합니다. |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | 9.8 |
| 기능적 영향 | 커스터마이제이션에서 엔터티 확장 ServiceNow AI Platform 을 사용하는 경우 추가 처리가 차단될 수 있습니다. |
| 보안 위험 | 공격자는 이 취약성을 사용하여 XXE(External Entities Expansion) 공격에서 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소모할 수 있습니다. |
| 임시 해결책 | 커스터마이제이션에 엔터티 확장이 필요한 경우 이 속성을 true로 설정하고 에 설명된 XML 외부 엔터티 제한단계를 따릅니다. |
시스템 속성 추가 또는 작성에 대한 자세한 내용은 다음 문서를 참조하십시오 Add a system property.
OWASp 자원에 대한 자세한 내용은 OWASp를 참조하십시오.