Re: [otrs-de] 31C3 Perl List F#!@-Up, DBI.pm und CGI.pm

Mon, 29 Dec 2014 22:48:28 -0800 

Hallo,

die Bugs waren interessant, aber die Forderung kein Perl mehr zu
verwenden ist Schwachsinn*!

Mit Bugs ist in _jeder_ Software zu rechnen, also auch in OTRS. Aber für
die hier gezeigten
Bugs ist OTRS nicht anfällig. Um CGI.pm gibt es einen Wrapper, der die
param()-Methode immer
im Skalarkontext aufruft außer man sagt es ganz explizit ("GetArray()"
Methode in Kernel/System/Web/Request.pm).

Und quote() aus DBI.pm wird auch nicht aufgerufen, sondern es werden die
sogenannten "prepared statements"
verwendet, die dafür nicht anfällig sind.


- Renée


*
- Probleme finden sich in jeder Sprache
- 20 Jahre alte "Bugs" gibt's immer wieder mal, dieses Jahr wurden
einige davon ja auch medial groß begleitet
- Perl entwickelt sich auch weiter
- "List flattening" ist Bestandteil jedes Perl-Einsteiger-Kurses.
- Der Vortragende outet sich ja schon zu Anfang, dass er Perl-Hasser ist.

On 29.12.2014 23:29, Lothar Kimmeringer wrote:
> Hallo,
>
> vor einer Stunde lief ja beim 31C3 der Vortrag zum Thema Perl
> und warum man es nicht mehr verwenden sollte. Das Video wird
> im Laufe der naechsten Stunden online sein, dann kann ich den
> entsprechenden Link zur Verfuegung stellen.
>
> Wurde OTRS hinsichtlich der gemeldeten Probleme angepasst
> und ist das letzte Update die Folge davon (die Beschreibung
> ist da ein bisschen vage) oder ist weiterhin das System
> angreifbar und mit SQL-Injektion und anderen Anfaelligkeiten zu
> rechnen (Ueberschreiben des verified users, etc.)? Wenn ihr
> daran noch arbeiten muesst, welche Versionen werden gefixed
> und wann kann damit gerechnet werden?
>
>
> Danke und Gruesse, Lothar
> ---------------------------------------------------------------------
> OTRS mailing list: otrs-de - Webpage: http://otrs.org/
> Archive: http://lists.otrs.org/pipermail/otrs-de
> To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de


-- 
Perl / OTRS development: http://perl-services.de
OTRS AddOn repository: http://opar.perl-services.de

---------------------------------------------------------------------
OTRS mailing list: otrs-de - Webpage: http://otrs.org/
Archive: http://lists.otrs.org/pipermail/otrs-de
To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de

Antwort per Email an