[Mew-dist 06118] Re: --enable-rpop with perl5.005

[Shigeya Suzuki]

なるほどねぇ…


>>>>> "motonori" == Motonori Nakamura <motonori at example.com> writes:

motonori> ＃ これで、secure になる、というのも謎ですが、そういうものみたいです。

shellのメタキャラクタとか入らなくなるから、だと思います。


motonori> そもそも、SUID root している場合は、@INC に自由にパスが追加できると
motonori> まずいような気がしますが、どうでしょう?

たしかに、かなり、まずいですね。

で、INC に unshift するより、 use lib するほうが良いと思うのと、config 
したときに library がインストールされているパスを直接書くようにするべ
きではないかと思います。

なので、先のパッチでも taintness は避けられると思いますが、やはり、

BEGIN {
	$im_libpath = "@libdir@";
	use lib $im_libpath;
};

# @libdir@ は自信ない。

とするほうが良いでしょう。$0 に依存するのは良くない。かつ、ライブラリ
ディレクトリのモードとかもチェックするようにしたほうが安全かな。

で、逆に、rpop する場合は、site_perl は @INC に既に入っていると思うの
で、@INC は削れると思います。user の local directory から実行出来る場
合で suid 出来るのはよろしくないから、rpop の場合は、単にこの処理自体
を削ってしまうのも可かもしれない。

shigeya