Edge-home-orchestration-go: [Sicherheit] CWE-78-Befehl erstellt aus benutzergesteuerten Quellen

Erstellt am 6. Mai 2021  ·  3Kommentare  ·  Quelle: lf-edge/edge-home-orchestration-go

CWE-78-Sicherheitsproblem wird von lgtm und CodeQL erkannt.
Wir benötigen einen Prozess, um zu überprüfen, ob die Eingabe, die die native App startet, eine schädliche Zeichenfolge enthält.

high priority
Quelle
picture t25kim
👍2

Hilfreichster Kommentar

@tdrozdovsky Was halten Sie von einem Vorschlag von @t25kim?

picture MoonkiHong am 7. Mai 2021
👍2

Alle 3 Kommentare

@tdrozdovsky Was halten Sie von einem Vorschlag von @t25kim?

MoonkiHong picture MoonkiHong am 7. Mai 2021
👍2

@tdrozdovsky Dieses Problem betrifft andere PRs, die nichts mit CWE-78 zu tun haben, wie z. B. #297, und sollte so schnell wie möglich behoben werden. Ich habe etwas Code für die Befehlsvalidierung vor dem Code eingefügt, der die native App startet. CodeQL erkennt jedoch weiterhin CWE-78.
Gibt es eine andere Möglichkeit, dieses Problem zu lösen? Oder wäre es möglich, es mit PR #299 als False positive zu markieren?

t25kim picture t25kim am 7. Mai 2021
👍1

Vielen Dank, dass Sie versucht haben, dieses Problem zu beheben. Vorhin habe ich geschrieben, dass es im nativen Modus eine große Schwachstelle gibt, und dann war ich überrascht, dass das System sie nicht erkennt. Aber jetzt wird alles richtig angezeigt und die Schwachstelle erkannt.
Dieses Problem kann nur auf Systemebene mit den Schutzmechanismen des Linux-Kernels vollständig gelöst werden. Aber ich werde versuchen, es in unserem Projekt zu lösen. Sobald ich mit dem TLS fertig bin, mache ich dieses Problem sofort.

tdrozdovsky picture tdrozdovsky am 7. Mai 2021
👍1
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

MoonkiHong picture MoonkiHong  ·  4Kommentare
MoonkiHong picture MoonkiHong  ·  6Kommentare
t25kim picture t25kim  ·  3Kommentare
t25kim picture t25kim  ·  7Kommentare
t25kim picture t25kim  ·  3Kommentare