Похоже у этого распространенного модуля есть серьезные проблемы с безопасностью которая недавно обнаружилась.
Имеется часто запускаемый скрипт, например, ccard.cgi которая в общем активно работает и работает с кредитными картами клиентов.
Все переменные объявлены через my и используется 'use strict'.
Пишем другой скрипт, например, hack.cgi без 'use strict' и использующий такие же переменные, но без их инициализации, т.е. первая строка с такой переменой выглядит примерно так:
$out = my_procedure($credit_card);
И скрипт hack.cgi получает значение переменной из скрипт ccard.cgi!!! Таким образом я смог получить несколько номеров кредиток. Запуская hack.cgi с одного VirtualHost, а скрипт ccard.cgi запуская с другого. Пока пришлось все скрипты с кредитками переписать с использованием blowfish даже когда используются для внутренних целей.
Кто нибудь знает про эту проблему и как с ней можно бороться. perl, Apache & mod_perl последние точно версий не помню, но переустанавливали недавно.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.