• CWE-776: Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion')

Das Produkt verwendet XML-Dokumente und erlaubt die Definition ihrer Struktur mit einer Document Type Definition (DTD), kontrolliert aber nicht angemessen die Anzahl rekursiver Definitionen von Entities.

CWE-776: Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion')

CWE ID: 776
Name: Improper Restriction of Recursive Entity References in DTDs (‘XML Entity Expansion’)

Beschreibung

Das Produkt verwendet XML-Dokumente und erlaubt die Definition ihrer Struktur mit einer Document Type Definition (DTD), kontrolliert aber nicht angemessen die Anzahl rekursiver Definitionen von Entities.

Erweiterte Beschreibung

Sollte die DTD eine große Anzahl verschachtelter oder rekursiver Entities enthalten, kann dies beim Parsen zu einem exponentiellen Datenwachstum führen und einen Denial of Service verursachen.

Risikominderungsmaßnahmen

Maßnahme (Operation)

Effektivität: Unknown
Beschreibung: Soweit möglich, sollte die Verwendung von DTDs unterbunden oder ein XML-Parser eingesetzt werden, der die Expansion rekursiver DTD-Entities limitiert.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Vor der Verarbeitung von XML-Dateien mit zugehörigen DTDs sollte ein Scan auf rekursive Entity-Deklarationen durchgeführt werden. Die Verarbeitung potenziell gefährlichen Inhalts sollte in diesem Fall abgebrochen werden.