Hi, auf die Gefahr hin, hiermit einen Flamewar loszutreten... das ist mir nämlich um einiges lieber, als später Schadensbegrenzung wg gehackter Debian-Edu Installationen zu haben... On Friday 08 June 2007 19:20, Jan-Benedict Glaw wrote: > Laut der URL von oben ist der Anspruch: > --------------------------------------------------------------- > Weiterhin ist zu prüfen, ob vorhandene proprietäre > Software unter Skolelinux weiterhin nutzbar bleibt. Das > Adminstrationswerkzeug CiPUX soll so konfiguriert und > erweitert werden, dass es für fachfremde Kollegen nutzbar > ist. Debian-Edu etch wird Cipux nicht enthalten und wohl auch nicht empfehlen, es einzusetzen, weil es unfertige Software ist (die einen höchst sensiblen Sicherheitskritischen Verwendungszweck hat). Cipux wird dazu benutzt, daß LDAP mit root-Rechten zu konfigurieren, d.h. wer Cipux hackt, hackt alle angeschlossenen Rechner. Dabei verfügt der Code (nach der Aussage von drei unabhängigen Prüfern) über keine Input-Validierung (*ALARMGLOCKEN schrill*). Zusätzlich äußerte sich der Author vor etwa einem Monat gegenüber der Nicht-Verwendung des Taintmodes für die auch mit root-Rechten laufenden Dämonen so: "Der Zweck von taint-Mode ist für Lehrzwecke" - was erschreckendes Unwissen (sorry) zum Thema deutlich macht. (Details im Archiv der Cipux-Liste und siehe unten.) Ergo: testet und benutzt lwat (das Default-LDAP-Admintool von Debian-edu etch), meldet Probleme/Missing Features, damit lwat noch besser zu benutzen ist. Gruß, Holger, dem es wirklich leid tut, Leuten hier auf die Füße zu treten und ihre Arbeit "schlechtzumachen". Allerdings gefährdet IMO diese Arbeit das Projekt... und auf meine privaten (und öffentlichen) Mails vor einem Monat wurde nicht reagiert. Ergo diese Mail :/ ----------------------------------------------------------------- Aus einer Mail von mir an die Cipux-Liste, http://sympa.cipworx.org/wws/arc/cipux-devel/2007-05/msg00036.html Das gequotete ist von Christian, dem Cipux Autor, das andere von mir. Eine Antwort kam darauf dann nicht mehr... > But in terms of Perl you are argumentatively against yourself, since your > PATH approach would never be a valid solution for the -T. So if we follow > your suggestion, we can not use -T. But now you are mention that we do not > use -T. This is a contradiction. Please explain why setting the PATH inside the perl-script to something known good and then running the binary from PATH is not good for perl. > The RPC is definitely ready for production. Since the -T switch is not > criteria for production code. It is. Please read http://www.unix.org.ua/orelly/linux/cgi/ch08_04.htm Quote: "It was created for situations when security is important, such as writing Perl programs that run as root or CGI scripts. You should always use taint mode in your CGI scripts." > I wrote the RPC server and scripts. They where reviewed by Klaus Knopper > and others. This code is OK. They are not. No matter who wrote them, who reviewed them. If you dont use taint mode your scripts are not production ready. Maybe for some values of "production ready", but certainly not for "debian-edu production ready". Sorry. > > I just checked, no rpc-script from cipux-core uses -T. > This is not a problem, I know the author. Knowing the author doesnt protect you(r scripts) from malicious input from the outside. > I suggest to postpone this discussion till we say it is ready. And when it > is ready I wait for lots of comments. We will write a mail on debian-edu to > invite as much people as possible to comment and test. And until it is not ready, you agree we shouldn't tell anyone to use this code for real?! Good. I mean, cipux is ment to be used by teachers who administrate their school computers with it, and where teachers will store stuff like exams and grades. This is critical infrastructure, not a programming excercise.
Attachment:
pgpP8SxbufUzO.pgp
Description: PGP signature