<div class="gmail_quote">On Wed, May 23, 2012 at 7:00 PM, Steven D'Aprano <span dir="ltr"><<a href="mailto:steve@pearwood.info" target="_blank">steve@pearwood.info</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">anatoly techtonik wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I am all ears how to make shutil.run() more secure. Right now I must<br>
confess that I don't even realize.how serious is this problems, so if<br>
anyone can came up with a real-world example with explanation of<br>
security concern that could be copied "as-is" into documentation, it<br>
will surely be appreciated not only by me.<br>
</blockquote>
<br></div>
Start here:<br>
<br>
<a href="http://cwe.mitre.org/top25/index.html" target="_blank">http://cwe.mitre.org/top25/<u></u>index.html</a><br>
<br>
Code injection attacks include two of the top three security vulnerabilities, over even buffer overflows.<br>
<br>
One sub-category of code injection:<br>
<br>
OS Command Injection<br>
<a href="http://cwe.mitre.org/data/definitions/78.html" target="_blank">http://cwe.mitre.org/data/<u></u>definitions/78.html</a></blockquote><div><br></div><div>I talked about this in my pycon talk this year. It's easy to avoid and disastrous to get wrong. Please don't do it this way.</div>
<div><br></div><div>Geremy Condra</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
<br>
-- <br>
Steven</font></span><div class="HOEnZb"><div class="h5"><br>
______________________________<u></u>_________________<br>
Python-ideas mailing list<br>
<a href="mailto:Python-ideas@python.org" target="_blank">Python-ideas@python.org</a><br>
<a href="http://mail.python.org/mailman/listinfo/python-ideas" target="_blank">http://mail.python.org/<u></u>mailman/listinfo/python-ideas</a><br>
</div></div></blockquote></div><br>