Taint-checking und sendmail (solved) (Perl/CGI)

[thread]16655[/thread]

Taint-checking und sendmail [solved]

Tags: perl5 CGI Similar Threads

Readers: 14

Articles: hide open all | hide show old branches

+8 replies
RalphFFM

2011-08-24 21:06
User since
2006-11-16
258 articles
BenutzerIn
Nabend, betrifft eine Zeile die da lautet:
Code: (dl )

open my $fh, '|-', '/usr/sbin/sendmail -t -oi' ...
Mit "#!/usr/bin/perl -T" bekomme ich den Fehler
Software error: Insecure dependency in piped open while running with -T switch at meinskript.cgi line 288.

Wie kann ich Perl mitteilen, daß ich sendmail vertraue und das open untainten? (Im voraus danke für einen Tip. perl v5.8.8)
- +4 replies
- kristian
  
  2011-08-24 21:46
  
  User since
  2005-04-14
  684 articles
  BenutzerIn
  
  bist du sicher, dass es diese Zeile ist?
  Die Daten,die du versandmailen willst kommen ja von draußen,sind die alle untainted?
  - +3 replies
  - RalphFFM
    
    2011-08-24 22:01
    
    User since
    2006-11-16
    258 articles
    BenutzerIn
    
    Das muß mit dem open my $fh.. zusammenhängen.
    
    Außer 08/15-Text ist die einzige Variable, die ich zu $fh schreibe die Zeile "To: $email", wobei $email skriptintern festgelegt ist wie $email='nutzer@provider.de';. Der zugewiesene Inhalt kommt also nicht "von außen". Da müßte untainten doch eigentlich sinnfrei sein.(?)
    
    Bin weiter am probieren.. :-[
    - +2 replies
    - pq
      
      2011-08-24 22:28
      
      User since
      2003-08-04
      12209 articles
      Admin1
      
      hat mein tipp mit PATH nicht geholfen?
      Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
      lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - RalphFFM
        
        2011-08-24 22:51
        
        User since
        2006-11-16
        258 articles
        BenutzerIn
        
        Bin noch am Kämpfen. Jetzt tritt plötzlich tritt ein Error 500 auf. Der behindert mich gerade der ursprünglichen Sache nachzugehen und die Tips auszuprobieren.
- pq
  
  2011-08-24 21:56
  
  User since
  2003-08-04
  12209 articles
  Admin1
  
  schreib mal davor:
  $ENV{PATH} = '';
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- +2 replies
- GwenDragon
  
  2011-08-24 21:59
  
  User since
  2005-01-17
  14848 articles
  Admin1
  
  Tainted sind alle Parameter, die an die Pipe gehen.
  Hast du die auch geprüft, damit die untainted werden?
  Welche Regexes verwendest du?
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - RalphFFM
    
    2011-08-25 01:36
    
    User since
    2006-11-16
    258 articles
    BenutzerIn
    
    Bin nun schlauer. Ursache war nicht die open-Prozedur an sich, sondern allein daß eine Ausführung letzterer abhing u.a. von einer tainted Variablen. Ein if ($foo eq "etwas" or $bar eq $tainted and open ($fh, '|-', ...){...} führt zum Skriptabbruch. Seltsamerweise läuft eine Prüfung mit perl -cwT meinskript.cgi immer problemlos durch.
    
    Danke nochmals an "unsere" Mädels, und Kristian.
    Last edited: 2011-08-25 01:52:51 +0200 (CEST)

View all threads created 2011-08-24 21:06.