Am 2004-09-27 14:05:28, schrieb Kai Weber: > * Michelle Konzack <linux4michelle@freenet.de>: > > > Viel Spaß mit dem Sourcen... Hatte ich vor einiger Zeit auch gemacht, > > bis mich ein paar personen dieser Liste auf dieses Sicherheitsproblem > > hingewiesen haben. > > Schreibst du den Bugreport für die Bash? Betroffen vom > source-Sicherheitsproblem ist /etc/bash_completition. Weiterhin alle > init-scripts, die Einstellungen aus /etc/default/foo auslesen. > > Wann wurde denn über das Sicherheitsproblem gesprochen? Weder bei Google > noch gmane.org noch meinem eigenen Archiv kann ich etwas finden. > > Manchmal tauchst du dummerweise in einem Reply auf und ich kann mich, > wie gerade jetzt, nicht zurückhalten, deinen FUD zu kommentieren. ??? Von was redest Du ? Es ging darum, wenn ich ein Script habe, das eine Cinfig-Datei benötigt, ob Du die Werte der Configdatei durch sourcen bekommst oder durch parsen. Wenn Du die Configdatei mit "source" eimlißt, kann da nämlich ausführbarer Code drinstehen. Ich hatte Commandos in die E-Mail-Body geschrieben und dann gesourced... Da aber die Commandos per root ausgeführt werden könnte ja jemand der die E-Mail kennt, da reinschreiben rm -rf / Dann war das system einmal. Seitdem ahbe ich auf das wesentlich umständigere parsen umgestellt. Auf der anderen Seite, könnte man ja die Config durch "grep" lassen und alles was nicht eine Configvariable ist, weggreppen und danach die bereinigte Config sourcen :-) Lezteres ist mir gerade beim schreiben der Message eingefallen. Es handelt sich also nicht um ein sicherheeitsproblem der BASH, sondern der erstellten Scripte. Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature