home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 920505-01 < prev    next >
Encoding:
Text File  |  1992-06-04  |  1.5 KB  |  41 lines
  1. Newsgroups: comp.unix.aix,comp.lang.perl
  2. From: chip@tct.com (Chip Salzenberg)
  3. Subject: Security Hole in Perl for RS/6000
  4. Message-ID: <2A05E31B.7DB5@tct.com>
  5. Date: Tue, 5 May 1992 01:21:31 GMT
  6. Organization: TC Telemanagement, Clearwater, FL
  7.  
  8. Bad News: The default Perl configuration for the RS/6000 notices that
  9. the setr[ug]id(), sete[ug]id() and setre[ug]id() functions are
  10. present, so it attempts to use them.  However, the AIX functions don't
  11. work as Perl expects.  So they should be disabled by hand editing of
  12. the "config.sh" script or by the use of the below hints file.
  13.  
  14. Worse News: SETUID SCRIPT EMULATION DOES NOT CHECK TO SEE IF THESE
  15. SETXXID() FUNCTIONS SUCCEED OR FAIL.  The effects of this bug are left
  16. as an exercise for the reader.  Suffice it to say that it's a security
  17. hole that should be plugged immediately, if not sooner.
  18.  
  19. Here is my "hints/aix_rs.sh" hints file, which should be sufficient to
  20. eliminate the security part of this problem.
  21.  
  22. ----------------------------------------------------------------
  23. d_setregid='undef'
  24. d_setreuid='undef'
  25. d_setrgid='undef'
  26. d_setruid='undef'
  27. d_setegid='undef'
  28. d_seteuid='undef'
  29. eval_cflags='optimize=""'
  30. toke_cflags='optimize=""'
  31. teval_cflags='optimize=""'
  32. ttoke_cflags='optimize=""'
  33. ccflags="$ccflags -D_NO_PROTO"
  34. cppstdin='/lib/cpp -D_AIX -D_IBMR2 -U__STR__'
  35. cppminus=''
  36. ----------------------------------------------------------------
  37. -- 
  38. Chip Salzenberg at Teltronics/TCT  <chip@tct.com>, <73717.366@compuserve.com>
  39.       "Informix 4GL is not a 4G, and it's barely an L."  -- John Tombs
  40.  
  41.