[Vienna-pm] Insecure dependency in socket
Peter J. Holzer
hjp-vienna-pm-list at hjp.at
Wed Feb 27 15:08:03 PST 2008
On 2008-02-27 14:57:29 +0100, Thomas Klausner wrote:
> Hi!
>
> On Wed, Feb 27, 2008 at 02:29:24PM +0100, Peter J. Holzer wrote:
>
> > Insecure dependency in socket while running with -T switch at
> > /usr/lib/perl5/site_perl/5.8.8/Cache/Memcached.pm line 261.
>
> Die Fehlermeldung kommt (glaub ich) wenn man taint mode verwendet (-T)
Habe ich (offensichtlich).
> und mit ENV rumgespielt hat.
Habe ich nicht, und sollte für socket() egal sein. Das verwendet ja
nirgends das Environment. Überhaupt ist mir nicht klar, was bei socket()
ein taint-check überhaupt bringt. Aber gut - better safe than sorry.
Wirklich verwirrend finde ich ja eigentlich, dass der taint-check nur im
Debugger zuschlägt, und auch nur dann, wenn man die fragliche Stelle mit
"c" durchläuft. Single-stepping funktioniert ja (weshalb das auch eher
in die Kategorie "kurios" als "kritisch" fällt - der Workaround ist
offensichtlich).
hp
PS: Aus dem Code in taint.c bzw. pp_sys.c werde ich nicht schlau.
--
_ | Peter J. Holzer | It took a genius to create [TeX],
|_|_) | Sysadmin WSR | and it takes a genius to maintain it.
| | | hjp at hjp.at | That's not engineering, that's art.
__/ | http://www.hjp.at/ | -- David Kastrup in comp.text.tex
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
Url : http://mail.pm.org/pipermail/vienna-pm/attachments/20080228/c9d10fd2/attachment.bin
More information about the Vienna-pm
mailing list