[Cascavel-pm] perl Insecure dependency in kill

Leonardo Reginin leonardo em procergs.rs.gov.br
Terça Abril 13 10:01:55 PDT 2010 

  Agradeço aos amigos

To : Cascavel Perl Mongers <cascavel-pm em pm.org>
> Em Ter, 2010-04-13 às 12:44 -0300, Leonardo Reginin escreveu:
>    
>> O meu caso é justamente o problema com setuid e setgid. O programas
>> que estão apresentando mensagem de erro semelhante, assim como o MRTG
>> ( que executo como serviço no BSD ), são serviços que fazem fork
>> executando o processo filho com outro usuário.
>> Eu até achei um workaround usando a switch -U na chamada do perl porém
>> isto é POG e não me agrada.
>>      
> O que acontece é que o MRTG não parece ser Taint-safe. Se você se
> preocupa com segurança, o mais interessante seria você começar a fazer
> patches no código para que ele passe a ser taint-safe.
>
> Por exemplo, no caso do kill, você provavelmente só precisa se
> certificar que o parâmetro sendo passado é efetivamente um número.
>
>    my $incoming = shift;
>    # kill 0, $incoming; # this fails in taint mode
>    $incoming =~ /\D*(\d+)\D*/;
>    my $pid = $1;
>    kill 0, $pid;
>
> E então o código passará a ser Taint-safe...
>
> Seria, sem dúvida, uma constribuição valiosa para o código do MRTG.
>    
Concordo com o Daniel que ele não é /taint-safe/ e seria realmente uma 
boa contribuição mas este erro não estava reportando e gostaria de 
descobrir o motivo.
Na verdade até pensei em arrumar (provavelmente faça, pois já contribou 
com o MRTG), só não queria no momento mascarar o real motivo da causa 
desta mudança de comportamento.


Ainda estou "escovando" .... por enquanto agradeço a ajuda dos amigos 
Nelson e Daniel !
> daniel
>
> _______________________________________________
> Cascavel-pm mailing list
> Cascavel-pm em pm.org
> http://mail.pm.org/mailman/listinfo/cascavel-pm
>
>    

-- 
Att,

Leonardo Reginin

===============================================================
PROCERGS - Cia.  Processamento   de  Dados  do  Estado   do  RS
DPR/SSR -  Divisão de Produção/Setor de Suporte e Projeto Redes
Fone:  55(xx51)3210-3138
'A candle loses nothing by lighting another candle' Erin Majors
===============================================================


-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://mail.pm.org/pipermail/cascavel-pm/attachments/20100413/3c6fe856/attachment-0001.html>

Mais detalhes sobre a lista de discussão Cascavel-pm