Am 2004-09-27 14:05:28, schrieb Kai Weber:
> * Michelle Konzack <linux4michelle@freenet.de>:
>
> > Viel Spaß mit dem Sourcen... Hatte ich vor einiger Zeit auch gemacht,
> > bis mich ein paar personen dieser Liste auf dieses Sicherheitsproblem
> > hingewiesen haben.
>
> Schreibst du den Bugreport für die Bash? Betroffen vom
> source-Sicherheitsproblem ist /etc/bash_completition. Weiterhin alle
> init-scripts, die Einstellungen aus /etc/default/foo auslesen.
>
> Wann wurde denn über das Sicherheitsproblem gesprochen? Weder bei Google
> noch gmane.org noch meinem eigenen Archiv kann ich etwas finden.
>
> Manchmal tauchst du dummerweise in einem Reply auf und ich kann mich,
> wie gerade jetzt, nicht zurückhalten, deinen FUD zu kommentieren.
???
Von was redest Du ?
Es ging darum, wenn ich ein Script habe, das eine Cinfig-Datei
benötigt, ob Du die Werte der Configdatei durch sourcen bekommst
oder durch parsen.
Wenn Du die Configdatei mit "source" eimlißt, kann da nämlich
ausführbarer Code drinstehen.
Ich hatte Commandos in die E-Mail-Body geschrieben und dann
gesourced... Da aber die Commandos per root ausgeführt werden
könnte ja jemand der die E-Mail kennt, da reinschreiben
rm -rf /
Dann war das system einmal.
Seitdem ahbe ich auf das wesentlich umständigere parsen umgestellt.
Auf der anderen Seite, könnte man ja die Config durch "grep" lassen
und alles was nicht eine Configvariable ist, weggreppen und danach
die bereinigte Config sourcen :-)
Lezteres ist mir gerade beim schreiben der Message eingefallen.
Es handelt sich also nicht um ein sicherheeitsproblem der BASH,
sondern der erstellten Scripte.
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature