Re: Toujours ces plantages de wwsympa.fcgi :-(

[Olivier Salaun - CRU <adresse@cachée>]

Michel Bouissou écrivait :
> J'ai toujours ces maudits plantages de wwsympa.fcgi quand il tourne en 
> FastCGI
> :-((( et que wwsympa.fcgi est SUID...
> [...]
> Les messages d'erreur générés dans la log d'Apache incriminent TOUJOURS les
> mêmes deux lignes des mêmes deux scripts:
> 
> > [Wed Aug  2 13:09:06 2000] [error] [client x.y.z.t] FastCGI: server
"/home/sympa/bin/wwsympa.fcgi" stderr: Can't locate object method "OPEN" via
package "FCGI::Stream" at /home/sympa/bin/smtp.pm line 99.> > [Wed Aug  2 
13:11:00 2000] [error] [client x.y.z.t] FastCGI: server
> "/home/sympa/bin/wwsympa.fcgi" stderr: Insecure dependency in open while
> running setuid at /home/sympa/bin/List.pm line 4037.
> [...]

L'interpréteur Perl soumet les scripts s'exécutant en SetUID à des contrôles
plus stricts, d'où le "Insecure dependency". Le principe : on ne peut utiliser
des données dérivées de l'extérieur d'un programme pour affecter quelque 
chose 
d'autre en dehors de ce programme.

Solution :

1/ ne pas tourner le CGI en SetUID

2/ netoyer les variables "entachées" (tainted) qui posent problème.
Dans le cas présent, il s'agit de la mise à jour du fichier de stats
(ligne 4037).

Pour plus d'infos :
http://www.perl.com/pub/doc/manual/html/pod/perlsec.html
http://www.perl.com/pub/doc/FAQs/cgi/wwwsf5.html

Si quelqu'un a un peu de temps à consacrer au "netoyage" des variables 
dans WWSympa, ça permettrait d'installer WWSympa par défaut en SetUID.


--
Olivier Salaün