[Cascavel-pm] dúvida sobre cpan

Thomas Britis thomas em tcnet.com.br
Sexta Julho 28 09:35:57 PDT 2006


Existe algum módulo que seja instalado com suid bit ? Eu desconheço.

Breno G. de Oliveira wrote:
> Nilson Santos Figueiredo Junior wrote:
> 
>>>E é muito comum ir no CPAN pegar um módulo "com mais de 200 anos de idade que não é mantido" para
>>>testar até que descobrimos outro módulo muito superior e com atualizações constantes. Nisso temos
>>>um bando de possíveis brechas de segurança.
>>
>>
>>E deixar ele na sua máquina *sem utilizá-lo* não irá expor seu sistema
>>a nenhuma das supostas brechas de segurança existentes.
>>
> 
> 
> Nilson, o fato de *vc não utilizá-lo* não significa que ninguém mais vai.
> 
> Suponha que vc tem instalado um módulo em seu servidor mas não esteja
> utilizando, justamente pq, como o Rodrigo enunciou, o módulo é velho e
> possui um erro que, digamos, dê acesso de root a quem o explorar (ou
> apague arquivos críticos, ou escute por comandos numa determinada porta,
> ou <insira_aqui_qq_atividade_maliciosa>).
> 
> Daí um usuário de seu sistema decide ir para o lado negro da força e
> escreve:
> 
> $ perl -e 'use Modulo::Quebrado; my $a = Modulo::Quebrado->new(); $a->b()'
> 
> pronto. Ele usou o módulo e seu sistema foi pro brejo. Acho que era isso
> que o Rodrigo queria dizer na afirmação dele...
> 
> Pessoalmente, já vivi a situação em que a versão atualizada do módulo
> estava quebrada no meu sistema. O rollback teve que ser na mão, e talvez
> uma opção de uninstall ou reinstall viesse a calhar sim (acho que o ppm
> tem essas opções inclusive).
> 
> No mais, sobre a questão do cpan não ter método de verificação de
> dependência para módulos desinstalados, isso seria tão difícil de
> implementar?
> 
> []s
> 
> breno
> 
> _______________________________________________
> Cascavel-pm mailing list
> Cascavel-pm em pm.org
> http://mail.pm.org/mailman/listinfo/cascavel-pm
> 
> 

-- 
Thomas Storino Britis
TCNet Informatica e Telecomunicacoes LTDA


Mais detalhes sobre a lista de discussão Cascavel-pm