Vulnérabilités d'injection de shell cachées dans les utilitaires Unix
2025-06-10
De nombreux utilitaires Unix utilisent la fonction `system(3)` pour exécuter des commandes externes, ce qui conduit à des vulnérabilités potentielles d'injection de shell. Cet article examine en détail ce problème, en analysant le comportement de `system(3)`, `sh -c` et de divers outils tels que `watch`, `ssh` et `i3`, en démontrant comment les métacaractères shell peuvent être utilisés pour contourner les mesures de sécurité. L'auteur préconise d'éviter `system(3)` et fournit des techniques d'atténuation, telles que l'utilisation de `exec --` et une citation et un échappement appropriés. En fin de compte, l'article appelle les développeurs à résoudre ces failles de sécurité dans leurs outils.
Développement
injection de shell