Fragen zum Taintmodus (gelöst) (Allgemeines zu Perl)

[thread]20727[/thread]

Fragen zum Taintmodus [gelöst]

Tags: perl5 Ähnliche Threads

Leser: 16

Articles: hide open all | hide show old branches

+14 replies
rosti

2020-01-21 10:20
User since
2011-03-19
3498 Artikel
BenutzerIn
Hier mein Script
Code (perl): (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

#!/usr/bin/perl -t use strict; use warnings; use Data::Dumper; require parse_eav_file; $SIG{__WARN__} = sub { die @_ }; print eval{ my $m = bless{ CONTENT => 'Hallo!' }; my $eav = $m->parse_eav_file("..."); my $class = $eav->{'/'}{class}; my $classfile = $class; $classfile =~ s|::|/|g; $classfile =~ s|\w||g; # Leerstring! require "$classfile.pm"; # Insecure dependency in require while running with -t switch at .. "Content-Type: text/plain; Charset=utf-8\n\n".$m->{CONTENT}; } || "Content-Type: text/plain; Charset=utf-8\n\n$@";
-t ist eingeschaltet. $classfile ist leer und trotzdem die Warnung. Sicherer als leer geht nicht! Aber auch wenn der Modulname nur ASCI Buchstaben enthält erscheint die Warnung die in meinem Fall zum die wird.

Wie kriege ich die Warnung weg?

MFG
Last edited: 2020-01-21 10:21:56 +0100 (CET)
- +3 replies
- Linuxer
  
  2020-01-21 11:35
  User since
  2006-01-27
  3891 Artikel
  HausmeisterIn
  Prüfe doch mit Scalar::Util ob $class tainted ist.
  
  Der Tainted-Status hängt nicht am Inhalt. Auch wenn $class leer sein sollte, ist es sehr wohl "tainted". Damit ist auch $classfile tainted und damit auch "$classfile.pm".
  
  Beispiel:
  
  Code (perl): (dl )
  
  1 2 3 4 5 6 7 8 9 10
  
  #! /usr/bin/perl -T use strict; use warnings; use 5.010; use Scalar::Util qw( tainted ); my $string = shift @ARGV // 'default'; say "'$string' is tainted: ", tainted($string);
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8
  
  $ perl -T t3.pl 'default' is tainted: 0 $ perl -T t3.pl "foo" 'foo' is tainted: 1 $ perl -T t3.pl "" '' is tainted: 1
  
  meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
  Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
  - +2 replies
  - rosti
    
    2020-01-21 11:47
    
    User since
    2011-03-19
    3498 Artikel
    BenutzerIn
    
    Ja, $classfile is tainted. Das war aber nicht die Frage. MFG
    - Linuxer
      
      2020-01-21 11:59
      
      User since
      2006-01-27
      3891 Artikel
      HausmeisterIn
      
      Dann entferne den Taint-Status mit der schon mehrmals beschriebenen Art und Weise.
      Wenn ein Leerstring für Dich gültig ist, dann muss Dein Regex eben auch den Leerstring einfangen.
      meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
      Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
- +10 replies
- rosti
  
  2020-01-21 16:43
  User since
  2011-03-19
  3498 Artikel
  BenutzerIn
  Hier noch ein Gegen-Beispiel:
  
  Code (perl): (dl )
  
  my $r = $dbh->selectall_arrayref("select * from forum where mesgid=?", {Slice=>{}}, $ENV{QUERY_STRING});
  
  -t stört sich nicht daran, einen tainted $ENV{QUERY_STRING} an eine DB-Abfrage weiterzugeben. Im Übrigen erkennt Scalar::Util das Abfrageergebnis nicht als tainted an und auch nicht die darin enthaltenen Strings.
  
  MFG
  Last edited: 2020-01-21 17:11:25 +0100 (CET)
  - +6 replies
  - rosti
    
    2020-01-21 17:20
    User since
    2011-03-19
    3498 Artikel
    BenutzerIn
    
    Und noch eins:
    
    Code (perl): (dl )
    
    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
    
    #!/usr/bin/perl -t use strict; use warnings; $SIG{__WARN__} = sub { die @_ }; print eval{ my $m = bless{ CONTENT => 'Hallo!' }; my $file = $ENV{QUERY_STRING}; unshift @ARGV, $file; local $/ = undef; $m->{CONTENT} = <>; "Content-Type: text/plain; Charset=utf-8\n\n".$m->{CONTENT}; } || "Content-Type: text/plain; Charset=utf-8\n\n$@";
    
    mit http://rolfrost/cgi-bin/tnt.cgi?c:/boot.ini wird die boot.ini ausgegeben. Ein sehr schönes Beispiel für ein sicherheitstechnisch sehr bedenktliches Script. -t ist hier absolut wirkungslos!!
    
    MFG
    - +5 replies
    - Linuxer
      
      2020-01-21 22:46
      
      User since
      2006-01-27
      3891 Artikel
      HausmeisterIn
      
      Mir scheint da ein Missverständnis vorzuliegen, was der Taint-Modus leistet; oder es liegt eine sehr hoch hängende Erwartungshaltung vor.
      
      Der Taint-Modus kann keine Wunder vollbringen.
      
      In erster Linie kann er Dich unterstützen; aber die Gedanken, dein Programm sicher zu machen, musst Du Dir selber machen. Du als Programmierender musst dafür Sorge tragen, dass eingehende Daten überprüft werden.
      Wenn Du das nicht tust, dann kann eben Deine C:/boot.ini gelesen werden.
      
      haj hat zum Taint-Modus (auch in Bezug auf Web-Anwendungen) ja schon einiges Kluges geschrieben.
      
      Weitere Tests:
      
      Code (perl): (dl )
      
      1 2 3 4 5 6 7 8 9 10 11 12 13
      
      #! /usr/bin/perl -T use strict; use warnings; use 5.020; use Scalar::Util qw( tainted ); my $tainted_filename = shift // die "Specify a filename.\n"; # Nicht das 3-Argument-Open; d.h. der Modus *kann* im Dateinamen stecken open( my $fh, $tainted_filename ) or die "open($tainted_filename) failed: $!\n"; print $_ for <$fh>; close $fh;
      
      Code: (dl )
      
      1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
      
      # trotz tainted wird die Datei gelesen und ausgegeben; weil es keine kritische Situation im Sinne des tainted ist # einfaches Dateilesen ist nicht per se böse; gleiches gilt bei Deinem Lesen der C:/boot.ini $ perl -T /tmp/t.pl /etc/passwd root:x:0:0:root:/root:/bin/bash ... # Pipes können böse sein, weil evtl. unbekannte/unerwünschte Programm aufgerufen werden könnten # Hier schlägt eben das tainted $ENV{PATH} zu. $ perl -T /tmp/t.pl "echo Hello|" Insecure $ENV{PATH} while running with -T switch at /tmp/t.pl line 10. # Taint schlägt auch bei Ausgabeumleitungen im Dateinamen zu (2-Argument-open()) perl -T /tmp/t.pl ">> /tmp/foo" Insecure dependency in open while running with -T switch at /tmp/t.pl line 10. # Einlesen ist wieder weniger kritisch und erstmal OK $ perl -T /tmp/t.pl "< /tmp/foo" open(< /tmp/foo) failed: No such file or directory
      
      Sobald man die 3-Argument-Form des open() mit Lesemodus verwendet, sind auch die Fälle mit Pipe und Ausgabeumleitung für taint OK, weil der Modus im Programm festgelegt ist; dann kommt eher sowas: open(>> /tmp/foo) failed: No such file or directory
      Wenn man natürlich nun im aktuellen Verzeichnis eine Datei mit diesem Namen >> /tmp/foo liegen hat, dann wird die eben gelesen. Wiederum unkritisch im Sinne des taint.
      
      Die Verwendung von <> ist hier ähnlich unsicher, weil es effektiv laut perlop nur ein 2-Argument-Open verwendet.
      Sicherer wäre die Verwendung von <<>>; für Weiteres siehe perlop (Stichwort: "null filehandle")
      meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
      Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
      - +4 replies
      - rosti
        
        2020-01-22 08:24
        
        User since
        2011-03-19
        3498 Artikel
        BenutzerIn
        
        Wie schon mehrfach geschrieben: Ich vermisse ein konkretes Beispiel dafür wo infolge Taintmodus -t eine Sicherherheitslücke verhindert wurde.
        
        MFG
        
        PS: Und noch etwas zu meinem Beispiel, das zeigt, daß ARGV und QUERY_STRING die beide selbstverständlich als tainted zu berachten sind, ohne Weiteres verwendet werden können! Je nach Konfiguration des Webservers kann es auch sein, daß der QUERY_STRING direkt nach @ARGV umgelegt wird, so daß ein Parameter ?c:/boot.ini dazu führt daß der Dateinihalt direkt aus <> bzw. <ARGV> gelesen werden kann.
        
        Mit anderen Worten: Meine Beispiele zeigen daß man sich als Progranmierer selbst um Sicherheitsrelevante Dinge kümmern muss!
        Last edited: 2020-01-22 08:46:52 +0100 (CET)
        
        +2 replies
        
        Linuxer
        
        2020-01-22 10:19
        
        User since
        2006-01-27
        3891 Artikel
        HausmeisterIn
        
        1. Hier wurde nichts anderes behauptet.
        2. Deine Erwartungshaltung an den Taint-Modus liegt meiner Meinung nach viel zu hoch.
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        rosti
        
        2020-01-22 10:38
        
        User since
        2011-03-19
        3498 Artikel
        BenutzerIn
        
        Nun, um meine Erwartungen geht es hier nicht. Und ich habe ja auch nichts Neues geschrieben. Möge dieser Thread ein Wenig zum Denken anregen, auf meinem Plog hab ich dieses Thema natürlich auch aufgegriffen.
        
        Trotzdem mein Tipp: Von Dingen die nicht verlässlich sind, sollte man die Finger lassen.
        
        MFG
        
        GwenDragon
        
        2020-01-22 10:59
        
        User since
        2005-01-17
        14769 Artikel
        Admin1
        
        Ja, früher (in den 2000ern) dachte ich auch der Taint-Mode würde wirklich viele Probleme aufdecken. Denkste – eben nur teilweise, ist halt eine Hilfestellung, kein Analysetool.
        
        Der -T ist eben ca. 10% Hilfe, im Programm muss eins korrekt programmieren und selbst testen.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +3 replies
  - GwenDragon
    
    2020-01-21 17:28
    User since
    2005-01-17
    14769 Artikel
    Admin1
    
    Leider wird der Taintmode des DBI nicht automatisch aktiv. Ja, für mich ist das inkonsistent.
    
    Da musst du als extra Parameter Taint aktivieren.
    Bsp:
    
    Code: (dl )
    
    my $dbh = DBI->connect( 'dbi:SQLite:dbname=db1', "", "", {Taint=>1} ) or die $DBI::errstr;
    
    Das ist genau das was Perl-Programme auch unsicher machen kann.
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +2 replies
    - rosti
      
      2020-01-22 08:35
      
      User since
      2011-03-19
      3498 Artikel
      BenutzerIn
      
      Hat Dir das schonmal geholfen eine Sicherheitslücke zu verhindern? Welche Du ohne Taintmodus nicht erkannt hättest?
      
      MFG
      
      PS: Es ist natürlich, daß kein Programmierer für sich feststellen würde, er bräuchte den Taintmodus der ihm darauf hinweist daß Daten die von draußen kommen tainted sind. Das sind sie nämlich auch ohne Taintmodus.
      
      Und wie mein Beispiel zeigt, gibt Perl -t keinerlei Warnung aus daß QUERY_STRING und @ARGV tainted sind, Beides kann ohne Weiteres verwendet werden! Anders ausgedrückt: Man kann sich auf den Taintmodus eben nicht verlassen!
      Last edited: 2020-01-22 10:00:21 +0100 (CET)
      - GwenDragon
        
        2020-01-22 11:00
        
        User since
        2005-01-17
        14769 Artikel
        Admin1
        
        2020-01-22T07:35:14 rosti
        Hat Dir das schonmal geholfen eine Sicherheitslücke zu verhindern? Welche Du ohne Taintmodus nicht erkannt hättest?
        …
        Anders ausgedrückt: Man kann sich auf den Taintmodus eben nicht verlassen!
        
        Zum ersten Satz: Nein. Da muss ich schon selber denken.
        Zum zweiten Satz: Korrekt.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

View all threads created 2020-01-21 10:20.