Améliorer la sécurité en cas de contenu malveillant dans une archive

Talend JobServer comprend une protection intégrée contre les attaques ZIP Slip et ZIP Symlink. Pour améliorer davantage la sécurité, vous pouvez configurer des limites pour les propriétés des archives et mieux protéger Talend JobServer contre les contenus malveillants dans des archives.

Dans le cas d'un contenu d'archive de Job malveillant, des attaques par déni de service peuvent essayer de rendre inutilisable le système de fichiers ou d'épuiser l'espace disque.

Pour éviter ce risque, vous pouvez configurer des limites plus restrictives pour les noms de fichiers et dossiers, en prenant en compte l'espace nécessaire à vos déploiements de Jobs. Les valeurs par défaut sont stockées dans le fichier org.talend.remote.jobserver.server.cfg situé dans le répertoire etc.

Ces valeurs ne doivent pas dépasser celle des tailles de noms supportées par le système de fichiers utilisé pour le dossier TalendJobServersFiles. Lorsqu'une limite est dépassée ou que plusieurs limites sont dépassées, un message d'erreur s'affiche et le déploiement est rejeté.

Remarque : Vous pouvez utiliser la commande suivante pour vérifier les limites actuelles sous Linux : getconf -a | grep -i name_max.

Le tableau suivant liste les valeurs par défaut des paramètres modifiables. Ces paramètres commencent tous par

org.talend.remote.jobserver.commons.config.JobServerConfiguration.

Paramètres permettant d'améliorer la sécurité en cas de contenu malveillant dans une archive
Paramètres	Description
`MAX_UNZIPPED_SIZE`	Taille maximale du fichier archive ZIP en cours d'extraction durant le déploiement. La valeur par défaut est de `1` Go.
`MAX_ZIPPED_ENTRIES`	Nombre d'entrées dans le fichier archive. La valeur maximale par défaut est `2048`.
`MAX_ZIP_NAME_LENGTH`	Longueur du nom du fichier archive ZIP. La valeur maximale par défaut est de `240` caractères.
`MAX_UNZIPPED_FOLDER_NAME_LENGTH`	Longueur du nom des dossiers dans le fichier archive ZIP. La longueur maximale par défaut du nom de dossier dézippé est de `240` caractères.
`MAX_UNZIPPED_FILE_NAME_LENGTH`	Longueur du nom des fichiers dans le fichier archive ZIP. La valeur maximale par défaut est de `240` caractères.
`MAX_ZIP_DEPTH`	Limite de profondeur des dossiers au sein du fichier archive ZIP. La valeur par défaut est de `64` niveaux.
`MAX_ARCHIVES_DIR_SIZE`	Limite de taille pour la somme de toutes les archives stockées dans le dossier TalendJobServersFiles/archiveJobs. La limite de taille par défaut est de `100` Go.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.

Laissez vos commentaires ici