man, i security hole

[Tomasz Kłoczko]

On Sun, 5 Mar 2000, Bartosz Waszak wrote:

> Michał Zalewski poinformowal jakiś czas temu o błędzie w man - gdy
> chodzi sgidem.

Jest już nowsza wersja źródeł mana i chyba ma juz poprawiony ten
błąd. Trzebaby to zaktualizować i sprawdzić czy rzeczywiście w nowej
wersji jest to poprawione.

[..]
> [..] CIACH
> 
> Nasz man też jest na to podatny. Dobrze było się pozbyć +s dla man'a

A na jakiej zasadzie ?

> PS. Kloczek jak tam twój man nowej generacji z parserem docbooka.

Przwdoppodobnie w pierwszym podejściu dobrze będzie zrealizować sugestię
Przemka Borysa:

"Pogrzebałem dzisiaj w kodzie i doszedłem do wniosku, że przynajmniej 
bazując na sgml2txt nie ma to szczególnego sensu (sposób, w jaki man 
wywołuje wewnętrzne narzędzia formatujące jest czysto skryptowy--można 
skrypt albo umieścić na zewnątrz, albo wkodować na stałe, ale 
ograniczenia--np. konieczność używania pliku tymczasowego--pozostaną 
:().

Rozsądnym wyjściem wydaje mi się podmiana NROFF (/etc/man.config) na 
wyżej załączony skrypt. Niestety przy okazji traci się na szybkości 
działania, ale jest to konieczne do sprawdzenia z jakim plikiem mamy do 
czynienia.

Ogólnie, myślę że powinna to być raczej opcja niż standard."

Trochę rzeczy mam zaplanowanych na ten tydzeń (trzeba skończyć
przedewszystkim apache i okolice), a w tym w sirodę jadę do Wa-wy i będę
prawie pewnikiem na spotkaniu PLUGowym (jakby ktoś miał coś do mnie
osobiście to będzie okazja do pogadania in real). Pod koniec tygodnia będę
chciał mocniej grzebnąć w manie.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*



_________________________
polish linux distribution