Когда я вызываю "sudo /sbin/iptables..." в своих сценариях Perl CGI, я получаю сообщение об ошибке:
Insecure dependency in system while running with -T switch at usr/lib/perl5/vendor_perl/5.8.8/IPC/Run3.pm line 403
Я попытался добавить "/sbin:/etc/sysconf:/etc/init.d" в $ENV{'PATH'}, но безуспешно. У кого-нибудь есть идеи?
Предполагается, что вы ограничиваете путь, то есть устанавливаете его на небольшое количество известных значений, удовлетворяющих определенным требованиям (например, $ENV{PATH} = '/sbin:/usr/sbin:/usr/bin';), а не добавляете к нему. Подробнее см. в разделе Очистка пути в perlsec. .
В вашем простом случае лучше вообще его очистить и полагаться только на системные вызовы с полными именами файлов.
delete @ENV{qw(PATH ENV)};
system qw(/usr/bin/sudo /sbin/iptables -h);
Да, у вас есть небезопасная зависимость в системе при работе с ключом -T. :п
Вы запускаете свой скрипт в режиме taintperl и вызываете внешнюю программу (не менее чем с помощью sudo) с данными, основанными на информации, переданной от пользователя (которая может быть испорчена). Если вы действительно уверены, что выходные данные верны и не представляют опасности, вам необходимо очистить их: см. официальную документацию по отмывание испорченных данных.
Вы должны быть действительно осторожны при запуске внешних программ или выполнении системных операций из CGI — например, подумайте, что может произойти, если вы введете `rm -rf /` в качестве пользовательского ввода. На perldoc perlsec есть много информации, которая поможет вам начать работу, но о написании безопасных код тоже.
