© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
> As Stefan Herrmann wrote:
> > Was mich daber gewundert hat: Wie kann man aus einem Perl-CGI vom
> > Webserver aus die passwd verändern ?
>
> setuid Perlscript? Das ist einer der Vorteile von Perl: man kann
> setuid-Scripts schreiben, die dann von /usr/bin/suidperl ausgewertet
> werden. Letzteres ist unwahrscheinlich paranoid, so daß IMHO diese
> Scripts sicherer sind als die meisten schnell dahingehackten
> setuid-C-Programme. suidperl hat mich durchaus schon dabei erwischt,
> irgendwelche anzulegenden Dateinamen aus env-Variablen zu bilden usw.
Hmm, die ausführenden Perl-CGI's haben schon das suid-bit gesetzt:
-rwsr-xr-x 1 root bin 6042 18 Jun 19:21 changeuser.pl*
-rwsr-xr-x 1 root bin 4864 18 Jun 19:21 removeuser.pl*
Aber dort wird nirgends das suidperl aufgerufen sondern nur das "normale"
perl. Wird suidperl automatisch gestartet, wenn das suid-bit von perl entdeckt wird ?
Leider zeigt "man suidperl" nur die man pages des "normalen" perl an ...
Ciao
Stefan
--
--- Communications powered by FreeBSD ---
>> WebAffairs InternetDienstleistungen <<
http://www.webaffairs.de/
Received on Mon 22 Jun 1998 - 15:31:58 CEST