تم اكتشاف مشكلة أمان CWE-78 بواسطة lgtm و CodeQL.
نحتاج إلى عملية للتحقق مما إذا كان الإدخال الذي يقوم بتشغيل التطبيق الأصلي يحتوي على سلسلة ضارة.
tdrozdovsky ما رأيك في اقتراح من @ t25kim؟
tdrozdovsky @ تؤثر هذه المشكلة على
هل هناك طريقة أخرى لحل هذه المشكلة؟ أم أنه من الممكن وضع علامة عليه False positive
بـ PR # 299؟
شكرا لمحاولة القضاء على هذه المشكلة. في وقت سابق ، كتبت أن هناك ثغرة كبيرة في الوضع الأصلي ، ثم فوجئت أن النظام لا يكتشفها. ولكن الآن يتم عرض كل شيء بشكل صحيح واكتشاف الثغرة الأمنية.
يمكن حل هذه المشكلة بالكامل فقط على مستوى النظام باستخدام آليات حماية Linux Kernel. لكنني سأحاول حلها ضمن مشروعنا. بمجرد أن أنتهي من استخدام TLS ، أقوم بهذه المشكلة على الفور.
التعليق الأكثر فائدة
tdrozdovsky ما رأيك في اقتراح من @ t25kim؟