Edge-home-orchestration-go: [Sécurité] Commande CWE-78 construite à partir de sources contrôlées par l'utilisateur

Créé le 6 mai 2021  ·  3Commentaires  ·  Source: lf-edge/edge-home-orchestration-go

Le problème de sécurité CWE-78 est détecté par lgtm et CodeQL.
Nous avons besoin d'un processus pour vérifier si l'entrée qui lance l'application native contient une chaîne malveillante.

high priority
Source
picture t25kim
👍2

Commentaire le plus utile

@tdrozdovsky Que pensez-vous d'une suggestion de @t25kim ?

picture MoonkiHong le 7 mai 2021
👍2

Tous les 3 commentaires

@tdrozdovsky Que pensez-vous d'une suggestion de @t25kim ?

MoonkiHong picture MoonkiHong le 7 mai 2021
👍2

@tdrozdovsky Ce problème affecte d'autres PR non liés à CWE-78, tels que #297 et devrait être corrigé dès que possible. J'ai mis du code pour la validation de la commande avant le code qui lance l'application native. Cependant, CodeQL détecte toujours CWE-78.
Existe-t-il un autre moyen de résoudre ce problème ? Ou serait-il possible de le marquer comme False positive avec PR #299 ?

t25kim picture t25kim le 7 mai 2021
👍1

Merci d'avoir essayé d'éliminer ce problème. Plus tôt, j'ai écrit qu'il existe une grande vulnérabilité dans le mode natif, puis j'ai été surpris que le système ne le détecte pas. Mais maintenant, tout s'affiche correctement et la vulnérabilité est détectée.
Ce problème ne peut être complètement résolu qu'au niveau du système en utilisant les mécanismes de protection du noyau Linux. Mais je vais essayer de le résoudre dans le cadre de notre projet. Dès que j'ai fini avec le TLS, je fais immédiatement ce problème.

tdrozdovsky picture tdrozdovsky le 7 mai 2021
👍1
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

t25kim picture t25kim  ·  3Commentaires
DoomsdayT picture DoomsdayT  ·  3Commentaires
t25kim picture t25kim  ·  7Commentaires
MoonkiHong picture MoonkiHong  ·  4Commentaires
t25kim picture t25kim  ·  5Commentaires