Accéder au contenu.
Menu Sympa

fr - Re: Toujours ces plantages de wwsympa.fcgi :-(

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Olivier Salaun - CRU <adresse@cachée>
  • To: adresse@cachée
  • Subject: Re: Toujours ces plantages de wwsympa.fcgi :-(
  • Date: Wed, 02 Aug 2000 16:48:48 +0200

Michel Bouissou écrivait :
> J'ai toujours ces maudits plantages de wwsympa.fcgi quand il tourne en
> FastCGI
> :-((( et que wwsympa.fcgi est SUID...
> [...]
> Les messages d'erreur générés dans la log d'Apache incriminent TOUJOURS les
> mêmes deux lignes des mêmes deux scripts:
>
> > [Wed Aug 2 13:09:06 2000] [error] [client x.y.z.t] FastCGI: server
"/home/sympa/bin/wwsympa.fcgi" stderr: Can't locate object method "OPEN" via
package "FCGI::Stream" at /home/sympa/bin/smtp.pm line 99.> > [Wed Aug 2
13:11:00 2000] [error] [client x.y.z.t] FastCGI: server
> "/home/sympa/bin/wwsympa.fcgi" stderr: Insecure dependency in open while
> running setuid at /home/sympa/bin/List.pm line 4037.
> [...]

L'interpréteur Perl soumet les scripts s'exécutant en SetUID à des contrôles
plus stricts, d'où le "Insecure dependency". Le principe : on ne peut utiliser
des données dérivées de l'extérieur d'un programme pour affecter quelque
chose
d'autre en dehors de ce programme.

Solution :

1/ ne pas tourner le CGI en SetUID

2/ netoyer les variables "entachées" (tainted) qui posent problème.
Dans le cas présent, il s'agit de la mise à jour du fichier de stats
(ligne 4037).

Pour plus d'infos :
http://www.perl.com/pub/doc/manual/html/pod/perlsec.html
http://www.perl.com/pub/doc/FAQs/cgi/wwwsf5.html

Si quelqu'un a un peu de temps à consacrer au "netoyage" des variables
dans WWSympa, ça permettrait d'installer WWSympa par défaut en SetUID.


--
Olivier Salaün




Archives gérées par MHonArc 2.6.19+.

Haut de le page