[sisyphus] Re: Q: perl security, CPAN security

[Alexey Tourbin]

On Mon, Jun 27, 2005 at 11:48:52AM +0400, Alexey Tourbin wrote:
> On Mon, Jun 27, 2005 at 11:30:16AM +0400, Epiphanov Sergei wrote:
> > > 1) perl, если запущен от root'а, должен работать в режиме taint mode.
> > Кто кому должен? Я понимаю, что лучше всего, если этот режим включён. Но 
> > когда необходимо, чтобы отработал свой собственный скрипт, недоступный 
> > другим, мне лень тратить времени и сил в два раза больше. Сам написал - сам 
> > виноват в последствиях. Нет уж, пусть будет как есть.
> 
> Вы запускаете этот скрипт от рута? :)  Тогда вам сюда:
> http://www.linux.org.ru/view-message.jsp?msgid=392747&page=0
> 
> Сейчас правило для имплицитного включения tain mode выглядит так:
> perl.c:    PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid != PL_gid));
> 
> Предлагается добавить в условие PL_euid==0 || ...

Забыл сказать, что будет такой же workaround, какой сейчас существует.

$ cat test.pl
#!/usr/bin/perl -T
print `date`;
$ ./test.pl
Insecure $ENV{PATH} while running with -T switch at ./test.pl line 2.
$ perl ./test.pl
"-T" is on the #! line, it must also be used on the command line at ./test.pl line 1.
$ perl -t ./test.pl
Insecure $ENV{PATH} while running with -t switch at ./test.pl line 2.
Insecure EXEC while running with -t switch at ./test.pl line 2.
Mon Jun 27 11:55:38 MSD 2005
$
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20050627/c0f902ef/attachment-0003.bin>