LGtm y CodeQL detectan un problema de seguridad de CWE-78.
Necesitamos un proceso para verificar si la entrada que inicia la aplicación nativa contiene una cadena maliciosa.
@tdrozdovsky ¿Qué opinas de una sugerencia de @ t25kim?
@tdrozdovsky Este problema afecta a otros RP no relacionados con CWE-78, como el número 297 y debe solucionarse lo antes posible. Pongo un código para la validación de comandos antes del código que inicia la aplicación nativa. Sin embargo, CodeQL todavía detecta CWE-78.
¿Existe alguna otra forma de resolver este problema? ¿O sería posible marcarlo como False positive
con PR # 299?
Gracias por intentar solucionar este problema. Anteriormente, escribí que hay una gran vulnerabilidad en el modo nativo, y luego me sorprendió que el sistema no la detectara. Pero ahora todo se muestra correctamente y se detecta la vulnerabilidad.
Este problema se puede resolver por completo solo a nivel del sistema utilizando los mecanismos de protección del Kernel de Linux. Pero intentaré solucionarlo dentro de nuestro proyecto. Tan pronto como termino con el TLS, hago este problema de inmediato.
Comentario más útil
@tdrozdovsky ¿Qué opinas de una sugerencia de @ t25kim?