home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / security / misc / 1712 < prev    next >
Encoding:
Text File  |  1992-11-10  |  1.3 KB  |  29 lines
  1. Newsgroups: comp.security.misc
  2. Path: sparky!uunet!munnari.oz.au!cs.mu.OZ.AU!thecure
  3. From: thecure@mullian.ee.mu.OZ.AU (matthew aardvarkious)
  4. Subject: Re: Setuid script - is this unsecure? (perl)
  5. Message-ID: <thecure.721475248@munagin>
  6. Sender: news@cs.mu.OZ.AU
  7. Organization: Computer Science, University of Melbourne, Australia
  8. References: <1992Nov5.071354.24042@kth.se> <AMOSS.92Nov6102549@shuldig.cs.huji.ac.il> <BxJ9zK.Ltz@mtholyoke.edu>
  9. Date: Wed, 11 Nov 1992 09:47:28 GMT
  10. Lines: 17
  11.  
  12. jbotz@mtholyoke.edu (Jurgen Botz) writes:
  13.  
  14. >In article <AMOSS.92Nov6102549@shuldig.cs.huji.ac.il> amoss@shuldig.cs.huji.ac.il (Amos Shapira) writes:
  15. >>If you want an suid programme write it in C (even if it does dumb things) and
  16. >>don't use the system(3) and popen(3) functions because they call /bin/sh and
  17. >>hance it's almost like writing a shell script.  I bet people can find some more
  18. >>rules-of-thumb but these are the very basic ones you should follow.
  19.  
  20. >Or better yet, use Perl, which won't allow you to perform "unsafe" operations
  21. >when running setuid.
  22.  
  23. 2 points!
  24. --
  25. These are my personal views and do not reflect those of Melbourne University.
  26. Anything I may say that may be deemed offensive and/or damaging should NOT
  27. be redirected to administration, as they have had nothing to do with it. 
  28. Please direct any/all complaints/enquiries to thecure@ee.mu.oz.au
  29.