[Mew-dist 08717] Re: suid root imget without ~/Mail

[Motonori NAKAMURA]

>>>>> On Thu, 6 May 1999 17:23:42 +0900, Hiroto Kagotani <kagotani at example.com> said:

kagotani> % imget
kagotani> imget: Getting new messages into +inbox....
kagotani> Insecure dependency in mkdir while running with -T switch at /usr/local/lib/IM/Folder.pm line 358, <POPd> chunk 23.

OS に書き込みを拒否されているのかと思っていましたが、
こういう症状なら、これで直るでしょうか?

*** Folder.pm-	Thu May  6 18:38:25 1999
--- Folder.pm	Thu May  6 18:40:19 1999
***************
*** 303,308 ****
--- 303,310 ----
  	    next;
  	}
  	$p .= "/$subdir";
+ 	$p =~ /(.+)/;   # $p may be tainted
+ 	$p = $1;        # clean up
  	unless (-d $p) {
  #	    im_debug("Creating directory: $p\n")
  #	      if (&debug('folder'));


> kagotani> （サーバとの通信だけをするプログラムを imget から切り離す？）

kagotani> とするのが安全確実でいいような気がします。
kagotani> こうすれば ScanSbr も suid root imget で使えるようになりますし。

まぁ、それはそうですがぁ。

- motonori