Thread Mailing-Liste oder Feed zu Perl-Sicherheitslücken gesucht (11 answers)
Opened by GwenDragon at 2023-02-05 17:23

haj
 2023-02-07 15:11
#194666 #194666
User since
2015-01-07
508 articles
BenutzerIn

user image
Zum Beispiel CPAN:Acme::AutoLoad: Das ist nicht nachweislich Malware in dem Sinn, dass es immer Böses tut. Aber es lädt Software von einem Privatserver des Autors und läßt die dann laufen. Der Autor (mit einem Profilfoto aus den 1970ern) kann die Software jederzeit ändern oder jedem Nutzer andere Software unterjubeln, so dass sie bei Tests harmlos aussieht. Er kann auch mal die Kontrolle über seine Server verlieren.

Und weil das ganze nicht bei der Installation von Software passiert, wo man ja vielleicht doch ein bisschen aufpasst, sondern zur Laufzeit, kann man das auch mit statischen Virenscannern nicht entdecken.

Das ist auch mal auf einer Mailing Liste diskutiert worden, als Konsequenz wurde das Modul vor gut zwei Jahren von Module::Autoload nach Acme::Autoload umbenannt (Acme ist die CPAN-Hierarchie für "absurdes, experimentelles und sonstwie unterhaltsames") und ein Warnhinweis in den DISCLAIMER-Abschnitt des Moduls eingebaut.

View full thread Mailing-Liste oder Feed zu Perl-Sicherheitslücken gesucht