[Cascavel-pm] dúvida sobre cpan

Breno G. de Oliveira breno em clavis.com.br
Sexta Julho 28 18:00:03 PDT 2006 

Oi Nilson,

na verdade eu queria pedir desculpas, pois o problema que mostrei
refere-se a um bug no perl em si, e o usuário malicioso poderia
simplesmente fazer algo como:

$ perl -e 'sprintf $minha_string_maligna'

para fazer besteira, e isso foge à questão.

Agora, pra exemplificar o ponto do Rodrigo, talvez fosse melhor citar
algo como o Safe::World ou algum outro que tente, por exemplo, prender o
usuário a um determinado grupo de comandos, funções e/ou sintaxes.
Imagino não ser difícil supor que um módulo defeituoso permitisse que um
usuário preso a esse mundo seguro conseguisse sair e fazer alguma
besteira em seu sistema (lembrando que para causar estrago vc não
precisa ser root). Ou ainda se vc pensar que, dentro de sua estrutura
"segura", vc deixa o sujeito usar apenas alguns módulos, e um deles
apresenta esse defeito na versão nova. Como fazer rapidamente o
downgrade de volta à versão anterior?

As vezes a gente acha que um problema não existe apenas pq não existe
para nós. Mas se as pessoas estão perguntando na lista, é pq deve haver
*alguma* necessidade, não acha? Afinal, se está até no FAQ do CPAN, o
Leonardo não deve ser o único a ter essa dúvida ;)

No mais, chega de justificar o argumento dos outros, que sabem se
defender muito bem...

[]s

breno



Breno G. de Oliveira wrote:
> Nilson Santos Figueiredo Junior wrote:
> 
>>Se o seu sistema é vulnerável o suficiente pra um mero módulo rodando
>>em user-mode conseguir escalar os privilégios para root você tem
>>problemas *muito maiores* que um mero módulo a ser desinstalado.
>>
> 
> 
> CVE-2005-3962 - Integer overflow in the format string functionality
> (Perl_sv_vcatpvfn) in Perl 5.9.2 and 5.8.6 Perl allows attackers to
> overwrite arbitrary memory and possibly execute arbitrary code via
> format string specifiers with large values, which causes an integer wrap
> and leads to a buffer overflow, as demonstrated using format string
> vulnerabilities in Perl applications.
> 
> Sobre ter problemas *muito maiores* que um mero módulo, sim, vc tem toda
> a razão - e talvez ficasse até surpreso com a quantidade de furos
> grosseiros que se encontra em sistemas de produção. Mas quando se
> trabalha com segurança da informação e o seu nome está na reta, todo o
> cuidado é pouco.
> 
> 
> []s
> 
> breno
>

Mais detalhes sobre a lista de discussão Cascavel-pm