Perl 语言安全问题

perlhk

UID: 20339
帖子: 79
积分: 181
在线时间: 8 小时

1^# perlhk 发表于 2005-12-22 23:31

Perl 语言安全问题

Perl 语言安全问题
最近有安全专家 (Dyad Security) 提出开源的 Perl 语言可能隐藏有阻绝服务攻击 (DOS or denial of service attack) 的弱点，并指出了 Webmin 与 Usermin 这两个应用软件有可能会反映出这问题。Webmin 是一个在线的操作系统设置工具 (a web-based administration tool for configuring certain operating systems)，而Usermin 就是 Webmin 的轻量版 (light-weight or stripped-down version)。
但亦有专家 (Thomas Kristensen, chief technology officer of Secunia) 指出他们还未有正实该弱点的存在。Perl 暂时未有特别更新。

qiang

UID: 17966
帖子: 1
积分: 2
在线时间: 10 分钟

2^# qiang 发表于 2005-12-23 01:12

是 sprintf 的问题。但 we.
是 sprintf 的问题。但 webmin 的程序也有问题，它没有对用户的输入作检查就把 sprintf 生成的字符串用到 sys::log 里了。这在网络编程里是非常危险的。

Perl 的 fix 已经出来了。具体看 http://news.perlfoundation.org/

alexe

UID: 22905
帖子: 189
积分: 434
在线时间: 2 天

3^# alexe 发表于 2005-12-23 01:22

:)，只要没有使用printf函.
:)，只要没有使用printf函数就没有问题。