Bug 33646

Summary: Выполнение произвольных команд от root
Product: Sisyphus Reporter: manowar <manowar>
Component: alterator-net-iptablesAssignee: manowar <manowar>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: sem
Version: unstable   
Hardware: all   
OS: Linux   

Description manowar@altlinux.org 2017-07-14 21:26:56 MSK 
Выполнение произвольных команд от root возможно, благодаря неосмотрительному использованию eval. Наеример, в параметре external_ifaces может быть передана произвольная команда.
Comment 1 Repository Robot 2017-07-17 18:55:41 MSK 
alterator-net-iptables-4.19.7-alt1 -> sisyphus:

Fri Jul 14 2017 Paul Wolneykien <manowar@altlinux.org> 4.19.7-alt1
- Build with new alterator (guile2).
- Use quote_shell_var instead of plain eval (closes: #33646).
- Use typed params everywhere it is possible.