[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

debian-edu empfiehlt+enthält cipux _NICHT_



Hi,

auf die Gefahr hin, hiermit einen Flamewar loszutreten... das ist mir nämlich 
um einiges lieber, als später Schadensbegrenzung wg gehackter Debian-Edu 
Installationen zu haben...

On Friday 08 June 2007 19:20, Jan-Benedict Glaw wrote:
> Laut der URL von oben ist der Anspruch:
> ---------------------------------------------------------------
>     Weiterhin ist zu prüfen, ob vorhandene proprietäre
>     Software unter Skolelinux weiterhin nutzbar bleibt. Das
>     Adminstrationswerkzeug CiPUX soll so konfiguriert und
>     erweitert werden, dass es für fachfremde Kollegen nutzbar
>     ist.

Debian-Edu etch wird Cipux nicht enthalten und wohl auch nicht empfehlen, es 
einzusetzen, weil es unfertige Software ist (die einen höchst sensiblen 
Sicherheitskritischen Verwendungszweck hat). 

Cipux wird dazu benutzt, daß LDAP mit root-Rechten zu konfigurieren, d.h. wer 
Cipux hackt, hackt alle angeschlossenen Rechner. Dabei verfügt der Code (nach 
der Aussage von drei unabhängigen Prüfern) über keine Input-Validierung 
(*ALARMGLOCKEN schrill*). Zusätzlich äußerte sich der Author vor etwa einem 
Monat gegenüber der Nicht-Verwendung des Taintmodes für die auch mit 
root-Rechten laufenden Dämonen so: "Der Zweck von taint-Mode ist für 
Lehrzwecke" - was erschreckendes Unwissen (sorry) zum Thema deutlich macht. 
(Details im Archiv der Cipux-Liste und siehe unten.)

Ergo: testet und benutzt lwat (das Default-LDAP-Admintool von Debian-edu 
etch), meldet Probleme/Missing Features, damit lwat noch besser zu benutzen 
ist.


Gruß,
	Holger, dem es wirklich leid tut, Leuten hier auf die Füße zu treten und 
		ihre Arbeit "schlechtzumachen". Allerdings gefährdet IMO diese Arbeit
		das Projekt... und auf meine privaten (und öffentlichen) Mails vor 
		einem Monat wurde nicht reagiert. Ergo diese Mail :/

-----------------------------------------------------------------
Aus einer Mail von mir an die Cipux-Liste,  
http://sympa.cipworx.org/wws/arc/cipux-devel/2007-05/msg00036.html
Das gequotete ist von Christian, dem Cipux Autor, das andere von mir. Eine 
Antwort kam darauf dann nicht mehr...

> But in terms of Perl you are argumentatively against yourself, since your
> PATH approach would never be a valid solution for the -T. So if we follow
> your suggestion, we can not use -T. But now you are mention that we do not
> use -T. This is a contradiction.

Please explain why setting the PATH inside the perl-script to something known 
good and then running the binary from PATH is not good for perl.

> The RPC is definitely ready for production. Since the -T switch is not
> criteria for production code. 

It is.

Please read http://www.unix.org.ua/orelly/linux/cgi/ch08_04.htm

Quote: "It was created for situations when security is important, such as 
writing Perl programs that run as root or CGI scripts. You should always use 
taint mode in your CGI scripts."

> I wrote the RPC server and scripts. They where reviewed by Klaus Knopper
> and others. This code is OK.

They are not. No matter who wrote them, who reviewed them. If you dont use 
taint mode your scripts are not production ready. Maybe for some values 
of "production ready", but certainly not for "debian-edu production ready". 
Sorry.

> > I just checked, no rpc-script from cipux-core uses -T.
> This is not a problem, I know the author.

Knowing the author doesnt protect you(r scripts) from malicious input from the 
outside.

> I suggest to postpone this discussion till we say it is ready. And when it
> is ready I wait for lots of comments. We will write a mail on debian-edu to
> invite as much people as possible to comment and test.

And until it is not ready, you agree we shouldn't tell anyone to use this code 
for real?! Good. I mean, cipux is ment to be used by teachers who 
administrate their school computers with it, and where teachers will store 
stuff like exams and grades. This is critical infrastructure, not a 
programming excercise.

Attachment: pgparEQFH5Tru.pgp
Description: PGP signature


Reply to: