Am 30.12.2014 um 07:46 schrieb Renee B:
> Mit Bugs ist in _jeder_ Software zu rechnen, also auch in OTRS.
Niemand hat etwas anderes behauptet.
> Aber für
> die hier gezeigten
> Bugs ist OTRS nicht anfällig. Um CGI.pm gibt es einen Wrapper, der die
> param()-Methode immer
> im Skalarkontext aufruft außer man sagt es ganz explizit ("GetArray()"
> Methode in Kernel/System/Web/Request.pm).
>
> Und quote() aus DBI.pm wird auch nicht aufgerufen, sondern es werden die
> sogenannten "prepared statements"
> verwendet, die dafür nicht anfällig sind.
Dann ist ja gut. Ich habe mich hier ueber Neujahr schon Updates
einspielen sehen.
> *
> - Probleme finden sich in jeder Sprache
Ist kein wirkliches Argument. Man kann das auch anders ausdruecken:
Jede Sprache deckt einen gewissen Anwendungsbereich ab und wenn
man sie ausserhalb verwendet, faengt sich frueher oder spaeter
Probleme ein.
> - 20 Jahre alte "Bugs" gibt's immer wieder mal, dieses Jahr wurden
> einige davon ja auch medial groß begleitet
> - Perl entwickelt sich auch weiter
> - "List flattening" ist Bestandteil jedes Perl-Einsteiger-Kurses.
> - Der Vortragende outet sich ja schon zu Anfang, dass er Perl-Hasser ist.
Das Ranten vom Vortragenden[1] hat meiner Ansicht nach den validen
Argumenten geschadet und das Argument "das weiss doch jeder !elf"
kam ja auch aus dem Publikum. In meinem Einsteigerbuch (ist aber
auch schon 20 Jahre alt) findet sich das uebrigens nicht und
Fakt ist, dass es wohl doch nicht so durchgehend bekannt ist,
wenn eine ganze Latte von Perlapplikationen (darunter eben
Bugzilla) Fixes liefern muessen, weil sie darauf reinfielen.
Und die Frage bleibt bestehen: Welche anderen Bibliotheken/Applikationen
sind in die gleiche Falle gefallen und wo warten die naechsten
Probleme, die sich hieraus ergeben? Dass OTRS beim Thema
CGI.pm und DBI.pm nicht dazu gehoert, freut mich. Ob's die
einzigen Module sind, bleibt abzuwarten.
Gruesse, Lothar
[1]
http://media.ccc.de/browse/congress/2014/31c3_-_6243_-_en_-_saal_1_-_201412292200_-_the_perl_jam_exploiting_a_20_year-old_vulnerability_-_netanel_rubin.html#video
---------------------------------------------------------------------
OTRS mailing list: otrs-de - Webpage: http://otrs.org/
Archive: http://lists.otrs.org/pipermail/otrs-de
To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de
