https://opennet.dev/openforum/vsluhforumID3/99287.html В выпусках (http://www.bugzilla.org/security/4.0.14/) 4.0.14, 4.2.10, 4.4.5 и 4.5.5 системы для ведения базы данных ошибок, контроля за их исправлением и общего координирования процесса разработки BugZilla устранена опасная уязвимость (http://blog.gerv.net/2014/10/new-class-of-vulnerability-in-perl-web-applications/) (CVE-2014-1572 (https://bugzilla.mozilla.org/show_bug.cgi?id=1074812)), позволяющая получить доступ новых пользователей к закрытым группам. Теоретически аналогичные ошибки могут присутствовать и в других проектах на языке Perl, использующих модуль CGI.pm и заполняющих хэши неэкранированными значениями функции param.<br><br><br>Проблемы вызвана непониманием особенности разбора повторяющихся параметров в URL - в случае передаи скрипту нескольких параметров с одинаковым именем, функция param модуля CGI.pm возвращает не скалярную переменную, а массив, в котором перечислены все значения подобных параметров. При заполнении хэша открытым списком по сути производится перечисление пар ключ/значение (символ "=&gt; https://opennet.dev/openforum/vsluhforumID3/99287.html#22 Tue, 14 Oct 2014 07:51:49 GMT &gt; Я всегда охреневал от людей, которые вообще CGI.pm используют. <br><br>Да весь CGI - протокол для тех кто хочет по мелочи сэкономить сначала и много и героически долбаться потом.<br> https://opennet.dev/openforum/vsluhforumID3/99287.html#21 Tue, 14 Oct 2014 07:50:42 GMT &gt; Apache/2.2.22 (Ubuntu) Server at bh-demo2.apache.org Port 443 <br><br>Единственное чего полезного отсюда можно узнать - что про забивон апачистов на бзды не врут. Опач под убунтой, однако :).<br><br> https://opennet.dev/openforum/vsluhforumID3/99287.html#20 Tue, 14 Oct 2014 07:49:23 GMT Так теперь основной объем дыр - в вебне и прочей скриптятине...<br> https://opennet.dev/openforum/vsluhforumID3/99287.html#19 Mon, 13 Oct 2014 16:12:24 GMT &gt; Как можно вообще использовать в web языки с динамической типизацией?!? (что есть <br>&gt; уже потенциальная проблема) <br><br>А ты чо, часто на сях сайтики пишешь? :D<br> https://opennet.dev/openforum/vsluhforumID3/99287.html#18 Mon, 13 Oct 2014 16:10:19 GMT Бессмысленно, там столько переделано, что живого места нет. Даже если умудриться это как-то разбить на патчи (что просто АБСОЛЮТНО НЕРЕАЛЬНО), авторы изменения всё равно не примут.<br><br>Да и не хочется уже ничего им отправлять, они там дикие говнокодеры, на некоторые вещи реально страшно смотреть было.<br><br>Даже смержить с 4.4 почти нереально (моя форкнута от 3.6). Хотя и невелика беда, там всё равно никаких масштабных фич не появилось.<br><br>Я раньше ещё стеснялся и как-то ограничивал себя, чтобы совсем ВСЁ не перехреначивать - думал мержить же потом... а сейчас надоело и я просто переделываю ВСЁ, что мне отсвечивает.<br><br>Хочу уже доделать и как форк зарелизить.<br> https://opennet.dev/openforum/vsluhforumID3/99287.html#17 Sat, 11 Oct 2014 11:34:39 GMT Как можно вообще использовать в web языки с динамической типизацией?!? (что есть уже потенциальная проблема)<br> https://opennet.dev/openforum/vsluhforumID3/99287.html#16 Fri, 10 Oct 2014 15:22:10 GMT Зря смеетесь. На практике был случай убираения проблемного демео скрипта bash как cgi через уязвимость shellshock<br> https://opennet.dev/openforum/vsluhforumID3/99287.html#15 Thu, 09 Oct 2014 05:25:43 GMT а им патчи отослать, не?<br> https://opennet.dev/openforum/vsluhforumID3/99287.html#14 Tue, 07 Oct 2014 15:52:17 GMT знакомые буквы увидел?<br>