Edge-home-orchestration-go: [Keamanan] Perintah CWE-78 dibuat dari sumber yang dikendalikan pengguna

Dibuat pada 6 Mei 2021  ·  3Komentar  ·  Sumber: lf-edge/edge-home-orchestration-go

Masalah keamanan CWE-78 terdeteksi oleh lgtm dan CodeQL.
Kami memerlukan proses untuk memeriksa apakah input yang meluncurkan aplikasi asli berisi string berbahaya.

high priority
Sumber
picture t25kim
👍2

Komentar yang paling membantu

@tdrozdovsky Apa pendapat Anda tentang saran dari @t25kim?

picture MoonkiHong pada 7 Mei 2021
👍2

Semua 3 komentar

@tdrozdovsky Apa pendapat Anda tentang saran dari @t25kim?

MoonkiHong picture MoonkiHong pada 7 Mei 2021
👍2

@tdrozdovsky Masalah ini memengaruhi PR lain yang tidak terkait dengan CWE-78, seperti #297 dan harus diperbaiki sesegera mungkin. Saya meletakkan beberapa kode untuk validasi perintah sebelum kode yang meluncurkan aplikasi asli. Namun, CodeQL masih mendeteksi CWE-78.
Apakah ada cara lain untuk menyelesaikan masalah ini? Atau mungkinkah menandainya sebagai False positive dengan PR #299?

t25kim picture t25kim pada 7 Mei 2021
👍1

Terima kasih telah mencoba menghilangkan masalah ini. Sebelumnya, saya menulis bahwa ada kerentanan besar dalam mode asli, dan kemudian saya terkejut bahwa sistem tidak mendeteksinya. Tapi sekarang semuanya ditampilkan dengan benar dan kerentanan terdeteksi.
Masalah ini dapat diselesaikan sepenuhnya hanya pada tingkat sistem menggunakan mekanisme perlindungan Kernel Linux. Tetapi saya akan mencoba menyelesaikannya dalam proyek kami. Segera setelah saya selesai dengan TLS, saya segera melakukan masalah ini.

tdrozdovsky picture tdrozdovsky pada 7 Mei 2021
👍1
Apakah halaman ini membantu?
0 / 5 - 0 peringkat

Masalah terkait

Deepak-Enc picture Deepak-Enc  ·  13Komentar
MoonkiHong picture MoonkiHong  ·  5Komentar
MoonkiHong picture MoonkiHong  ·  5Komentar
MoonkiHong picture MoonkiHong  ·  8Komentar
t25kim picture t25kim  ·  10Komentar