[sisyphus] Re: Q: perl security, CPAN security

[Epiphanov Sergei]

В сообщении от 27 Июнь 2005 11:57 Alexey Tourbin написал:
> > Сейчас правило для имплицитного включения tain mode выглядит так:
> > perl.c:    PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid !=
> > PL_gid));
> >
> > Предлагается добавить в условие PL_euid==0 || ...
>
> Забыл сказать, что будет такой же workaround, какой сейчас существует.

Хм, сейчас я могу выбрать, включать или нет этот режим. В Вашем случае 
волей-неволей придётся ломать голову над каждой инструкцией.

Например, рабочий скрипт вида:

#!/usr/bin/perl
foreach $l(@ARGV){
	system("/usr/bin/команда '$l'");
}

и притом, что я знаю, что это за 'команда' и что получу в результате, всё 
равно скрипт придётся обвешивать бог знает чем. Для скриптов, которые я хоть 
как-то задействую в управлении сервером, я обязательно пишу параметр -T. Вы, 
когда пишите '/bin/cat "file"', не проверяете file на "вшивость". Хотя 
знаете, что нетекстовый файл может привести к сбою шрифтов консоли. Так же и 
я пишу на Perl.

-- 
С уважением, Епифанов Сергей