Edge-home-orchestration-go: [セキュリティ]ユーザー制御のソースから構築されたCWE-78コマンド

作成日 2021年05月06日  ·  3コメント  ·  ソース: lf-edge/edge-home-orchestration-go

CWE-78のセキュリティ問題は、lgtmおよびCodeQLによって検出されます。
ネイティブアプリを起動する入力に悪意のある文字列が含まれているかどうかを確認するプロセスが必要です。

high priority
ソース
picture t25kim
👍2

最も参考になるコメント

@tdrozdovsky @ t25kimからの提案についてどう思いますか?

picture MoonkiHong 2021年05月07日
👍2

全てのコメント3件

@tdrozdovsky @ t25kimからの提案についてどう思いますか?

MoonkiHong picture MoonkiHong 2021年05月07日
👍2

@tdrozdovskyこの問題は、#297などのCWE-78に関連しない他のPRに影響するため、できるだけ早く修正する必要があります。 ネイティブアプリを起動するコードの前に、コマンド検証用のコードをいくつか配置しました。 ただし、CodeQLは引き続きCWE-78を検出します。
この問題を解決する他の方法はありますか? または、PR#299でFalse positiveとしてマークすることは可能でしょうか?

t25kim picture t25kim 2021年05月07日
👍1

この問題を解決しようとしていただきありがとうございます。 以前、ネイティブモードには大きな脆弱性があると書いたのですが、システムがそれを検出しないことに驚きました。 しかし、今ではすべてが正しく表示され、脆弱性が検出されています。
この問題は、Linuxカーネルの保護メカニズムを使用したシステムレベルでのみ完全に解決できます。 しかし、私は私たちのプロジェクト内でそれを解決しようとします。 TLSを使い終えるとすぐに、この問題を解決します。

tdrozdovsky picture tdrozdovsky 2021年05月07日
👍1
このページは役に立ちましたか?
0 / 5 - 0 評価

関連する問題

t25kim picture t25kim  ·  3コメント
t25kim picture t25kim  ·  5コメント
t25kim picture t25kim  ·  3コメント
t25kim picture t25kim  ·  7コメント
MoonkiHong picture MoonkiHong  ·  7コメント