[Vienna-pm] eigenartige Ueberpruefung im taint mode

Thomas Klausner domm at zsi.at
Thu Apr 17 04:08:49 CDT 2003


Hi!

On Mit, Apr 16, 2003 at 06:01:23 +0200, Baier Oliver INT SD wrote:

> mir ist gerade aufgefallen, dass das taint checking, wenn nicht
> fehlerhaft, zumindest recht eigenartig ist.
> 
> 	my $daylog = "/log/spkat/" . $hosts{$ARGV[0]} . "/status_log."
> 	 . `/bin/date '+%Y%m%d'`;
> 
> scheitert mit "Insecure dependency in `` while running
> with -T switch at /home/spkat/bin/getstatus.pl".

Ich schaetze das liegt daran, das das Ergbnis von `/bin/date '+%Y%m%d'` als
tainted markiert wird, und du's dann direkt an den String dranhaengst.

> 	my $daylog = "/log/spkat/" . $hosts{$ARGV[0]} . "/status_log.";
> 	$daylog .= `/bin/date '+%Y%m%d'`;
> 
> Wo liegt denn da der Unterschied?

weiss ich ehrlichgesagt auch nicht genau.

Aber warum verwendest du nicht irgendeine Perl-Datumsfunktion (oder ein
Modul), um das Datum zu bekommen?

Ist wahrscheinlich schneller und auf jeden Fall sicherer.

-- 
#!/usr/bin/perl                               http://domm.zsi.at
for(ref bless{},just'another'perl'hacker){s-:+-$"-g&&print$_.$/}



More information about the Vienna-pm mailing list