許可リストを使用した XMLdoc2 エンティティ検証を必須とする
カスタマイズでエンティティの拡張が必要ない場合は、glide.xmlutil.max_entity_expansion プロパティを使用して外部エンティティの拡張を完全に無効化します。XML は解析を完了しますが、内部または外部エンティティは含まれません。
Glide プロパティ glide.stax.whitelist_enabled がシステムプロパティ [sys_properties] テーブルに存在しない場合、または推奨値の true に設定されていない場合、Glide プロパティ glide.stax.allow_entity_resolution の値が true に設定されていれば、すべての外部エンティティが許可されます。
カスタマイズでエンティティの拡張が必要ない場合は、 glide.stax.allow_entity_resolution プロパティを使用して外部エンティティの拡張を完全に無効化します。XML は解析を完了しますが、内部または外部エンティティは含まれません。
- glide.stax.allow_entity_resolutionを true に設定すると、すべての外部エンティティは、glide.stax.whitelist_enabled プロパティの設定に従って、対象エンティティの解決または拡張を試みます。
- glide.stax.allow_entity_resolutionを false に設定すると、すべてのエンティティの解決と拡張がブロックされます。このプロパティの詳細については、「XMLDocument2 ストリーミングパーサー内のエンティティ拡張を無効にする」を参照してください。
glide.stax.whitelist_enabled が true に設定されている場合は、glide.xml.entity.whitelist プロパティでカンマ区切りの FQDN リストを定義してください。XML エンティティ処理プロパティを使用してアクセスできるのは、これらの URL のみになります。詳細については、「XML 外部エンティティを制限する」を参照してください。外部エンティティ拡張 (XXE) 攻撃では攻撃者はこの脆弱性を利用してデータを急激に拡張し、すべてのシステムリソースを短時間で消費する可能性があります。
必須条件
- glide.xml.entity.whitelist.enabled および glide.stax.whitelist_enabled プロパティを true に設定します。詳細については、「XML 外部エンティティを制限する」を参照してください。
- glide.xml.entity.whitelist プロパティでカンマ区切りの FQDN リストを定義してください。XML エンティティ処理プロパティを使用してアクセスできるのは、これらの URL のみになります。詳細については、「XML 外部エンティティを制限する」を参照してください。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.stax.whitelist_enabled |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | この修復コントロールは、XML エンティティ拡張/Billion Laugh 攻撃から防御するために有効にする必要があります。 |
| 推奨値 | true |
| デフォルト値 | true |
| セキュリティリスク評価 | 9.8 |
| 機能への影響 | カスタマイズでエンティティ拡張を使用している場合、ServiceNow AI Platform が以降の処理をブロックする可能性があります。 |
| セキュリティリスク | 攻撃者はこの脆弱性を利用して、外部エンティティ拡張(XXE)攻撃でデータを指数関数的に拡張し、すべてのシステムリソースを短時間で消費する可能性があります。 |
| ワークアラウンド | カスタマイズでエンティティ拡張が必要な場合は、このプロパティを true に設定し、「XML 外部エンティティを制限する」に記載されている手順を実行してください。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。
OWASp リソースの詳細については、「OWASp」を参照してください。