Si c'est le cas, ça veut dire qu'il y a déjà un appel à exec/system. Et si tu as un exec/system dans le programme principal, tu as une dépendance vers un autre binaire, donc il faut la gérer.
Tu peux aussi utiliser un framework d'une manière qui fait qu'il peut faire des appels à exec sans que tu le sache. La question ne se pose pas de savoir si ton code peut charger des binaires ou pas.
Mais du coup, si tu as dnf/apt/pip dans le conteneur et une faille qui permet d’exécuter un programme arbitraire mais qui doit exister, il suffit d'installer un paquet vérolé pour exécuter du code (en l'absence d'autre mesures de protection).
Souvent, mes conteneurs n'ont pas accès au net, donc l'ajout de payload depuis l'extérieur n'est pas un problème.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: FROM scratch
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 3.
Tu peux aussi utiliser un framework d'une manière qui fait qu'il peut faire des appels à exec sans que tu le sache. La question ne se pose pas de savoir si ton code peut charger des binaires ou pas.
Souvent, mes conteneurs n'ont pas accès au net, donc l'ajout de payload depuis l'extérieur n'est pas un problème.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche