|
Perl selbst ist zwar immun gegen den Hauptangriffspunkt
bei in C geschriebenen Programmen auf Basis von Puffer-Überläufen,
jedoch sind möglicherweise in C geschriebene Programme
oder hinzugeladene Bibliotheken bedroht.
| |
Typische Fallen sind hier Umgebungsvariablen (z.B. HOME),
die auf extrem lange Werte gesetzt werden und damit aufgerufene
Shells zur Ausführung mit übergebenen Codes des Angreifers
bringen können (diese Technik ist als stack smashing
bekannt). Weitere Kandidaten sind die Umgebungsvariablen
USER oder LOGIN, bei denen häufig naive Annahmen über
deren maximale Länge gemacht wird.
| |
Weitere Probleme kann es mit (ansonsten durchgeprüften)
Kommandozeilenargumente geben, die zu lang sind.
| |
Auch Eingaben, die über eine Pipeline an ein fremdes
Programm erfolgen, können einen Angriffspunkt darstellen,
wenn z.B. gets statt fgets auf der einlesenden Seite
verwendet wird.
| |
Häufig werden solche Sicherheitsaspekte bei Hilfsprogrammen
nicht beachtet, da sie alleine genommen kein Sicherheitsrisiko
darstellen.
|
Copyright © 1996 - 2003 Andreas Borchert, in HTML konvertiert am 01.10.2003 |