Edge-home-orchestration-go: [Segurança] Comando CWE-78 criado a partir de fontes controladas pelo usuário

Criado em 6 mai. 2021  ·  3Comentários  ·  Fonte: lf-edge/edge-home-orchestration-go

Problema de segurança CWE-78 é detectado por lgtm e CodeQL.
Precisamos de um processo para verificar se a entrada que inicia o aplicativo nativo contém uma string maliciosa.

high priority
Fonte
picture t25kim
👍2

Comentários muito úteis

@tdrozdovsky O que você acha de uma sugestão de @ t25kim?

picture MoonkiHong em 7 mai. 2021
👍2

Todos 3 comentários

@tdrozdovsky O que você acha de uma sugestão de @ t25kim?

MoonkiHong picture MoonkiHong em 7 mai. 2021
👍2

@tdrozdovsky Esse problema afeta outros PRs não relacionados ao CWE-78, como o # 297, e deve ser corrigido o mais rápido possível. Eu coloquei algum código para validação de comando antes do código que inicia o aplicativo nativo. No entanto, CodeQL ainda detecta CWE-78.
Existe alguma outra maneira de resolver esse problema? Ou seria possível marcá-lo como False positive com PR # 299?

t25kim picture t25kim em 7 mai. 2021
👍1

Obrigado por tentar eliminar este problema. Anteriormente, eu escrevi que há uma grande vulnerabilidade no modo nativo e, em seguida, fiquei surpreso que o sistema não a detectou. Mas agora tudo é exibido corretamente e a vulnerabilidade é detectada.
Este problema pode ser completamente resolvido apenas no nível do sistema usando os mecanismos de proteção do Kernel do Linux. Mas vou tentar resolver dentro do nosso projeto. Assim que terminar o TLS, resolvo imediatamente este problema.

tdrozdovsky picture tdrozdovsky em 7 mai. 2021
👍1
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

t25kim picture t25kim  ·  3Comentários
t25kim picture t25kim  ·  5Comentários
t25kim picture t25kim  ·  4Comentários
DoomsdayT picture DoomsdayT  ·  3Comentários
MoonkiHong picture MoonkiHong  ·  5Comentários