J’ai récemment eu une mise à jour de mon QNAP qui patientait depuis quelques semaines, j’ai lu le log de la release et je lis à peu près ça :
Fix vulnérability CWE-78
Mais kesako ? Petite recherche sur google : il s’agit d’une vulnérabilité logicielle qui permet d’injecter des commandes à l’OS.
Sa description complète est ici. Ce lien pointe la base de connaissance de HIGH-TECH BRIDGE sur les CWE qu’elle a détectées (si mon anglais est bon).
Petite apartée :
On revient donc à nos moutons, on s’intéresse en particulier à l’exemple donné sur l’usage de la commande système. Je fais alors ce petit test codé en C :
test_system
Et simplement en l’appelant avec cette commande :
./test_system google.fr;echo OWNED... :D
La commande ‘echo’ non prévu dans le cadre de l’exécution du code, est exécutée !
On se rend compte de la fragilité de l’utilisation de la commande system, à utiliser avec parcimonie : évitez son utilisation avec des données externes au programme.
Pour finir je conseille de consulter directement la database du MITRE plutôt que celle de HIGH-TECH, plutôt accée sécurité WEB (ils vendent leur outil dédié à la sécurité WEB).
Le portail référence également des articles du CERT ainsi que les outils d’analyse de code avec la compatibilité CWE..