Exigência de validação da entidade XMLdoc2 com expansão da entidade allowlistDisable [Atualizado na Central de segurança 1.3]
Se as personalizações não exigirem expansão de entidade, use a propriedade glide.xmlutil.max_entity_expansion para desabilitar completamente a expansão de entidade externa. O XML conclui a análise, mas não inclui entidades internas ou externas.
Exija a validação de entidade XMLdoc2 para impedir que invasores expandam os dados exponencialmente e consumam os recursos do sistema.
Se a propriedade do sistema glide.stax.whitelist_enabled não existir na tabela Propriedades do sistema [sys_properties] ou não estiver definida com o valor recomendado de verdadeiro, todas as entidades externas serão permitidas quando a propriedade do sistema glide.stax.allow_entity_resolution estiver definida para o valor verdadeiro. Se as personalizações não exigirem expansão de entidade, use a propriedade do sistema glide.stax.allow_entity_resolution para desabilitar a expansão de entidade externa. O XML conclui a análise, mas não inclui entidades internas ou externas.
- Se você definir glide.stax.allow_entity_resolution como verdadeiro, todas as entidades externas tentarão resolver ou expandir entidades de assunto, sujeitas à configuração da propriedade glide.stax.whitelist_enabled.
- Se você definir glide.stax.allow_entity_resolution como falso, todas as resoluções e expansões de entidade serão bloqueadas. Para saber mais sobre esta propriedade, consulte Como desativar a expansão de entidade no Analisador de fluxo de XMLDocument2 [Atualizado na Central de segurança 1.5].
Quando glide.stax.whitelist_enabled estiver definido como verdadeiro, defina uma listagem de FQDN delimitada por vírgulas na propriedade glide.xml.entity.whitelist, que são os únicos URLs que podem ser acessados usando a propriedade de processamento de entidade XML. Para saber mais, consulte Restringir entidades XML externas [Atualizado na Central de segurança 1.3 e 2.0]. Os invasores podem usar esta vulnerabilidade para expandir dados exponencialmente em um ataque de expansão de entidades externas (XXE), consumindo rapidamente todos os recursos do sistema.
Pré-requisitos
- Defina as propriedades glide.xml.entity.whitelist.enabled e glide.stax.whitelist_enabled como verdadeiras. Para saber mais, consulte Restringir entidades XML externas [Atualizado na Central de segurança 1.3 e 2.0].
- Defina uma lista de FQDN delimitada por vírgulas na propriedade glide.xml.entity.whitelist, que são os únicos URLs que podem ser acessados usando a propriedade de processamento de entidade de XML. Para saber mais, consulte Restringir entidades XML externas [Atualizado na Central de segurança 1.3 e 2.0].
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.stax.whitelist_enabled |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Este controle de correção deve ser habilitado para defesa contra um ataque de expansão de entidade XML/Billion laughs. |
| Valor recomendado | verdadeiro |
| Valor-padrão | falso |
| Classificação de risco de segurança | 9,8 |
| Impacto funcional | Se a personalização estiver usando expansão de entidade, Now Platform poderá bloquear o processamento adicional. |
| Risco à segurança | (Crítico) Um invasor pode usar esta vulnerabilidade para expandir os dados de forma exponencial, consumindo rapidamente todos os recursos do sistema. |
| Solução alternativa | Se a personalização exigir expansão da entidade, defina esta propriedade como verdadeira e siga as etapas documentadas na Restringir entidades XML externas [Atualizado na Central de segurança 1.3 e 2.0]. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.
Para obter mais informações sobre os recursos OWASp, consulte OWASp.