[Cascavel-pm] perl Insecure dependency in kill
Leonardo Reginin
leonardo em procergs.rs.gov.br
Terça Abril 13 10:01:55 PDT 2010
Agradeço aos amigos
To : Cascavel Perl Mongers <cascavel-pm em pm.org>
> Em Ter, 2010-04-13 às 12:44 -0300, Leonardo Reginin escreveu:
>
>> O meu caso é justamente o problema com setuid e setgid. O programas
>> que estão apresentando mensagem de erro semelhante, assim como o MRTG
>> ( que executo como serviço no BSD ), são serviços que fazem fork
>> executando o processo filho com outro usuário.
>> Eu até achei um workaround usando a switch -U na chamada do perl porém
>> isto é POG e não me agrada.
>>
> O que acontece é que o MRTG não parece ser Taint-safe. Se você se
> preocupa com segurança, o mais interessante seria você começar a fazer
> patches no código para que ele passe a ser taint-safe.
>
> Por exemplo, no caso do kill, você provavelmente só precisa se
> certificar que o parâmetro sendo passado é efetivamente um número.
>
> my $incoming = shift;
> # kill 0, $incoming; # this fails in taint mode
> $incoming =~ /\D*(\d+)\D*/;
> my $pid = $1;
> kill 0, $pid;
>
> E então o código passará a ser Taint-safe...
>
> Seria, sem dúvida, uma constribuição valiosa para o código do MRTG.
>
Concordo com o Daniel que ele não é /taint-safe/ e seria realmente uma
boa contribuição mas este erro não estava reportando e gostaria de
descobrir o motivo.
Na verdade até pensei em arrumar (provavelmente faça, pois já contribou
com o MRTG), só não queria no momento mascarar o real motivo da causa
desta mudança de comportamento.
Ainda estou "escovando" .... por enquanto agradeço a ajuda dos amigos
Nelson e Daniel !
> daniel
>
> _______________________________________________
> Cascavel-pm mailing list
> Cascavel-pm em pm.org
> http://mail.pm.org/mailman/listinfo/cascavel-pm
>
>
--
Att,
Leonardo Reginin
===============================================================
PROCERGS - Cia. Processamento de Dados do Estado do RS
DPR/SSR - Divisão de Produção/Setor de Suporte e Projeto Redes
Fone: 55(xx51)3210-3138
'A candle loses nothing by lighting another candle' Erin Majors
===============================================================
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://mail.pm.org/pipermail/cascavel-pm/attachments/20100413/3c6fe856/attachment-0001.html>
Mais detalhes sobre a lista de discussão Cascavel-pm