|
ru.perl
- RU.PERL ----------------------------------------------------------------------
From : Yuriy Kaminskiy 2:5020/517.21 23 Nov 2001 06:08:39
To : Michael Smirnov
Subject : Re: suidperl & %ENV
--------------------------------------------------------------------------------
>>>>> On 17:46 16/11/2001, smb@mh.vstu.edu.ru writes:
MS> Когда я беру юзера не из $ENV{'REMOTE_USER'}, а задаю my
MS> $user='test' то скрипт выполняется ДАЖЕ при suid root!
Ага. perldoc perlsec на предмет tainted. Hепосредственно решение
проблемы приведено в разделе /Laundering and Detecting Tainted Data.
Плюс см. модуль Taint с CPAN.
MS> Значит suid-ность что-то вытворяет с %ENV, и поганит мне значение
MS> переменной $user
Ага. Делает его tainted. Все правильно.
MS> Сделал suid-ным скрипт printenv из поставки Апача - работает,
MS> выдает этот самый %ENV!
Он не делает никаких действий, которые запрещены для tainted data.
--
Yuriy Kaminskiy.
--- Gnus/5.0808 (Gnus v5.8.8) XEmacs/21.1 (Cuyahoga Valley)
* Origin: none (2:5020/517.21@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: suidperl & %ENV |
Yuriy Kaminskiy |
23 Nov 2001 06:08:39 |
|
|
