Bug 33646 - Выполнение произвольных команд от root
Summary: Выполнение произвольных команд от root
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-net-iptables (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: manowar@altlinux.org
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2017-07-14 21:26 MSK by manowar@altlinux.org
Modified: 2017-07-17 18:55 MSK (History)
1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description manowar@altlinux.org 2017-07-14 21:26:56 MSK 
Выполнение произвольных команд от root возможно, благодаря неосмотрительному использованию eval. Наеример, в параметре external_ifaces может быть передана произвольная команда.
Comment 1 Repository Robot 2017-07-17 18:55:41 MSK 
alterator-net-iptables-4.19.7-alt1 -> sisyphus:

Fri Jul 14 2017 Paul Wolneykien <manowar@altlinux.org> 4.19.7-alt1
- Build with new alterator (guile2).
- Use quote_shell_var instead of plain eval (closes: #33646).
- Use typed params everywhere it is possible.