home *** CD-ROM | disk | FTP | other *** search
/ vsiftp.vmssoftware.com / VSIPUBLIC@vsiftp.vmssoftware.com.tar / FREEWARE / FREEWARE40.ZIP / perl5 / security.pointer < prev    next >
Text File  |  1996-08-06  |  3KB  |  67 lines
  1. Article 34816 of dec.notes.networking.internet_tools:
  2. Title: Security of CGI interpreters (latro)
  3.  
  4. I havn't dug through this guy's claims, but figured I'd post 
  5. this here to open up some discussion...
  6.  
  7.  
  8. http://www.perl.com/perl/news/latro-announce.html
  9.  
  10. Urgent Security Announcement
  11.  
  12. How'd you like to let anyone anywhere run any program they feel
  13. like on your system, even sending you new ones of their own
  14. devising? Sound frightening? Well, that's what's going on out there. 
  15.  
  16. Despite months of lobbying corporations, individuals, and the net at
  17. large about the perl.exe?FMH.pl problem, it continues to get
  18. worse. In the spirit of the Satan network checker, here's something
  19. that will find out whether you have the problem. It's called latro, a
  20. program anyone can use to run any program they feel like on any
  21. system so unfortunate as to have ignored those warnings. If I hadn't
  22. written it, someone else would have. 
  23.  
  24. You may argue that I've just given a lockpicking kit to the unwashed
  25. masses. Perhaps this is so, but far better that everyone should have
  26. the same resources at their disposal than that merely the thieves
  27. should have them. This way at least the locks might get fixed. 
  28.  
  29. Already several people have posted to USENET about how one can use
  30. Alta Vista to find these sites. It's only a matter of time before these
  31. sites get, um, visited. Hopefully someone will construct a list of these
  32. and notify them. This is, of course, just a fraction of the vulnerable
  33. sites. 
  34.  
  35. Let's clean it up out there, guys. Nefarious users could even ship
  36. over their own PC binaries and run them on your system, which
  37. means that if you aren't careful, they might do something useful like
  38. forcibly upgrade you to Linux. Of course, then the
  39. perl.exe?FMH.pl travesty magically goes away, along with a
  40. whole lot of other problems. :-) 
  41.  
  42. Note
  43.  
  44. This problem probably affects only amateur and/or commercial
  45. machines running those cursΦd spawn of CP/M that Microsoft (and
  46. no one else) calls operating systems. Professional software
  47. development systems like Unix and Plan9 should be largely
  48. unaffected. Paradoxically enough, Apple systems running their
  49. native systems should also be ok because the setup is so different.
  50. But please never underestimate the power of human stupidity when it
  51. comes to using technology they don't understand. There are also
  52. loads of sites out there with other interpreters than Perl in their
  53. cgi-bins, including shells, tcl, python, etc. This has got to stop. 
  54.  
  55. CERT has been notified of the issue, and has released a report about
  56. the problem. 
  57.  
  58. Resources
  59.  
  60.      Documentation on latro. 
  61.      Source code for latro. 
  62.      Source code for the LWP library used by latro. 
  63.  
  64.      Background info on the problem, plus solutions. 
  65.  
  66.  
  67.