Edge-home-orchestration-go: [Seguridad] CWE-78 Command construido a partir de fuentes controladas por el usuario

Creado en 6 may. 2021  ·  3Comentarios  ·  Fuente: lf-edge/edge-home-orchestration-go

LGtm y CodeQL detectan un problema de seguridad de CWE-78.
Necesitamos un proceso para verificar si la entrada que inicia la aplicación nativa contiene una cadena maliciosa.

high priority
Fuente
picture t25kim
👍2

Comentario más útil

@tdrozdovsky ¿Qué opinas de una sugerencia de @ t25kim?

picture MoonkiHong en 7 may. 2021
👍2

Todos 3 comentarios

@tdrozdovsky ¿Qué opinas de una sugerencia de @ t25kim?

MoonkiHong picture MoonkiHong en 7 may. 2021
👍2

@tdrozdovsky Este problema afecta a otros RP no relacionados con CWE-78, como el número 297 y debe solucionarse lo antes posible. Pongo un código para la validación de comandos antes del código que inicia la aplicación nativa. Sin embargo, CodeQL todavía detecta CWE-78.
¿Existe alguna otra forma de resolver este problema? ¿O sería posible marcarlo como False positive con PR # 299?

t25kim picture t25kim en 7 may. 2021
👍1

Gracias por intentar solucionar este problema. Anteriormente, escribí que hay una gran vulnerabilidad en el modo nativo, y luego me sorprendió que el sistema no la detectara. Pero ahora todo se muestra correctamente y se detecta la vulnerabilidad.
Este problema se puede resolver por completo solo a nivel del sistema utilizando los mecanismos de protección del Kernel de Linux. Pero intentaré solucionarlo dentro de nuestro proyecto. Tan pronto como termino con el TLS, hago este problema de inmediato.

tdrozdovsky picture tdrozdovsky en 7 may. 2021
👍1
¿Fue útil esta página
0 / 5 - 0 calificaciones

Temas relacionados

t25kim picture t25kim  ·  3Comentarios
t25kim picture t25kim  ·  3Comentarios
t25kim picture t25kim  ·  3Comentarios
DoomsdayT picture DoomsdayT  ·  3Comentarios
t25kim picture t25kim  ·  4Comentarios