[Cascavel-pm] dúvida sobre cpan

[Nilson Santos Figueiredo Junior]

On 7/28/06, Breno G. de Oliveira <breno em clavis.com.br> wrote:
> Suponha que vc tem instalado um módulo em seu servidor mas não esteja
> utilizando, justamente pq, como o Rodrigo enunciou, o módulo é velho e
> possui um erro que, digamos, dê acesso de root a quem o explorar (ou
> apague arquivos críticos, ou escute por comandos numa determinada porta,
> ou <insira_aqui_qq_atividade_maliciosa>).

Se o seu sistema é vulnerável o suficiente pra um mero módulo rodando
em user-mode conseguir escalar os privilégios para root você tem
problemas *muito maiores* que um mero módulo a ser desinstalado.

> Pessoalmente, já vivi a situação em que a versão atualizada do módulo
> estava quebrada no meu sistema. O rollback teve que ser na mão, e talvez
> uma opção de uninstall ou reinstall viesse a calhar sim (acho que o ppm
> tem essas opções inclusive).

Você pode instalar versões antigas do módulo pelo shell da CPAN e essa
instalação irá sobreescrever a mais recente. Você não precisa de
desinstalar antes.

Sim, o PPM tem essa opção e ela só funciona pro que foi instalado pelo PPM.

> No mais, sobre a questão do cpan não ter método de verificação de
> dependência para módulos desinstalados, isso seria tão difícil de
> implementar?

Não existe uma forma padrão de determinar as depedências de um módulo.
Nem de determinar quais arquivos pertencem a uma distribuição e isso
seria uma mudança que afetaria todos os módulos da CPAN, ou seja, algo
completamente inviável.

A não ser que fosse uma solução como a do PPM (e também do CPANPLUS)
onde só módulos instalados pelo shell teriam esse recurso. Mas essa é
só uma meia-solução.

-Nilson Santos F. Jr.