<div dir="ltr">Это не дыра! Это специфика, все эти поведения описаны в документации percsec наряду с введённым оператором <<>> в 5.22.<div>Весь доклад - бред.</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-12-30 17:26 GMT+06:00 Илья Винокуров <span dir="ltr"><<a href="mailto:ilvin@mail.ru" target="_blank">ilvin@mail.ru</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>Нужно было смотреть до 27 минуты.<br><br>Основной наброс был на:<br><br>echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'<br><br>Вот только в 5.18 версии, похоже дыру пофиксили...<br><br>С почтением,<br>  Илья Винокуров.<br><br><blockquote style="border-left:1px solid #0857a6;margin:10px;padding:0 0 0 10px">
        Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub <<a href="mailto:worldmind@mail.ru" target="_blank">worldmind@mail.ru</a>>:<br>
        <br>
        <div>
        



    











        
        


        
        
        

        

        
        

        

        
        



<div>
        
        <div><div><div class="h5">
                
                
            <div><div>Посмотрел 17 минут:</div>

Примеры кода без strict намекают что он реально юзает old perl<div>Невозможность указать тип аргумента это минус, но не это порождает уязвимости.<br><div>Может я что-то делал не так, но что-то не помню чтобы я писал функций которые принимают что угодно и выполняют разные действия в зависимости от типа аргументов, может у меня какой-то другой перл? Хотя и это не порождает уязвимостей.<br><div>То, что разработчика багзиллы не эскейпят данные подставляемые в запрос не косяк языка, а их косяк.</div><div>Весь его разговор крутится вокруг того что якобы хеши это безопасные структуры данных, но естественно это чушь, никакой универсальной безопасности не может быть, откуда перлу знать что программер будет данными делать - в базу вставлять или в html, эскейпить нужно явно в зависимости от того что нужно.</div><div>Дальше не хочется тратить время<br><br>On Вт, дек 29, 2015 в 12:35 , Павел Щербинин <<a href="https://e.mail.ru/compose?To=dzirtik@gmail.com" target="_blank">dzirtik@gmail.com</a>> wrote:<br>
<blockquote type="cite"><p dir="ltr">Сегодняшний доклад про Perl на конференции 32c3 - огонь!</p>
<p dir="ltr">Всем перловикам и безопасникам обязательно смотреть видео:<br>
<a href="https://www.youtube.com/watch?v=eH_u3C2WwQ0" target="_blank">https://www.youtube.com/watch?v=eH_u3C2WwQ0</a><br></p>
</blockquote></div></div></div></div>
            
                
                    </div></div><div>-- <br><span class="">
Moscow.pm mailing list<br>
<a href="https://e.mail.ru/compose?To=moscow%2dpm@pm.org" target="_blank">moscow-pm@pm.org</a> | <a href="http://moscow.pm.org" target="_blank">http://moscow.pm.org</a><br>
</span></div>
                
             
        
                
        </div>

        
</div>


</div>
</blockquote>
<br></div>
<br>--<br>
Moscow.pm mailing list<br>
<a href="mailto:moscow-pm@pm.org">moscow-pm@pm.org</a> | <a href="http://moscow.pm.org" rel="noreferrer" target="_blank">http://moscow.pm.org</a><br>
<br></blockquote></div><br></div>