Exiger la validation des entités XMLdoc2 avec l’expansion des entités allowlistDisable [Mis à jour dans Centre de sécurité 1.3]
Si les personnalisations ne nécessitent pas l’expansion de l’entité, utilisez la propriété pour désactiver complètement l’expansion de l’entité glide.xmlutil.max_entity_expansion externe. Le code XML termine l’analyse, mais n’inclut aucune entité interne ou externe.
Exigez la validation d’entité XMLdoc2 pour empêcher les attaquants d’étendre les données de manière exponentielle et de consommer vos ressources système.
Si la propriété système glide.stax.whitelist_enabled n’existe pas dans la table Propriétés système [sys_properties], ou si elle n’est pas définie sur la valeur conseillée true, toutes les entités externes sont autorisées lorsque la propriété système glide.stax.allow_entity_resolution est définie sur la valeur true. Si les personnalisations ne nécessitent pas l’expansion de l’entité, utilisez la propriété système glide.stax.allow_entity_resolution pour désactiver l’expansion de l’entité externe. Le code XML termine l’analyse, mais n’inclut aucune entité interne ou externe.
- Si vous définissez glide.stax.allow_entity_resolution sur vrai, toutes les entités externes tentent de résoudre ou de développer les entités sujets, sous réserve du paramètre de la propriété glide.stax.whitelist_enabled .
- Si vous définissez glide.stax.allow_entity_resolution sur faux, toute la résolution et l’expansion de l’entité sont bloquées. Pour en savoir plus sur cette propriété, reportez-vous à la section Désactiver l’expansion des entités dans l’analyseur de diffusion en continu XMLDocument2 [Mis à jour dans Centre de sécurité 1.5].
Lorsque glide.stax.whitelist_enabled est défini sur vrai, définissez une liste de FQDN délimités par des virgules dans la propriété glide.xml.entity.whitelist , qui sont les seules URL pouvant être atteintes à l’aide de la propriété de traitement d’entité XML. Pour en savoir plus, consultez Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0]. Les attaquants peuvent utiliser cette vulnérabilité pour étendre les données de manière exponentielle dans une attaque d’expansion d’entités externes (XXE), consommant rapidement toutes les ressources système.
Prérequis
- Définissez les propriétés et glide.xml.entity.whitelist.enabledglide.stax.whitelist_enabled sur vrai. Pour en savoir plus, consultez Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0].
- Définissez une liste de FQDN délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL pouvant être atteintes à l’aide de la propriété de traitement de l’entité XML. Pour en savoir plus, consultez Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0].
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.stax.whitelist_enabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Ce contrôle de rattrapage doit être activé pour se défendre contre une attaque XML Entity Expansion/Billion Laugh. |
| Valeur recommandée | VRAI |
| Valeur par défaut | faux |
| Cote de risque de sécurité | 9.8 |
| Impact fonctionnel | Si la personnalisation utilise l’expansion de l’entité, elle Now Platform peut bloquer tout traitement ultérieur. |
| Risque de sécurité | (Critique) Un attaquant peut utiliser cette vulnérabilité pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources système. |
| Solution de contournement | Si la personnalisation nécessite le développement de l’entité, définissez cette propriété sur true et suivez les étapes décrites à la rubrique Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0]. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.
Pour plus d’informations sur les ressources OWASp, consultez OWASp.