[sisyphus] Re: Q: perl security, CPAN security
Epiphanov Sergei
=?iso-8859-1?q?serpiph_=CE=C1_nikiet=2Eru?=
Пн Июн 27 13:03:25 MSD 2005
В сообщении от 27 Июнь 2005 11:57 Alexey Tourbin написал:
> > Сейчас правило для имплицитного включения tain mode выглядит так:
> > perl.c: PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid !=
> > PL_gid));
> >
> > Предлагается добавить в условие PL_euid==0 || ...
>
> Забыл сказать, что будет такой же workaround, какой сейчас существует.
Хм, сейчас я могу выбрать, включать или нет этот режим. В Вашем случае
волей-неволей придётся ломать голову над каждой инструкцией.
Например, рабочий скрипт вида:
#!/usr/bin/perl
foreach $l(@ARGV){
system("/usr/bin/команда '$l'");
}
и притом, что я знаю, что это за 'команда' и что получу в результате, всё
равно скрипт придётся обвешивать бог знает чем. Для скриптов, которые я хоть
как-то задействую в управлении сервером, я обязательно пишу параметр -T. Вы,
когда пишите '/bin/cat "file"', не проверяете file на "вшивость". Хотя
знаете, что нетекстовый файл может привести к сбою шрифтов консоли. Так же и
я пишу на Perl.
--
С уважением, Епифанов Сергей
Подробная информация о списке рассылки Sisyphus