Board Allgemeines - Thread Sicherheit - Perl-community.de Testing

[thread]87[/thread]

Sicherheit

Leser: 14

Articles: hide open all | hide show old branches

+20 replies
Gast guest

2009-03-10 14:46
Hallo!

Habe ich das richtig im Kopf, dass Regexabfragen über STDIN ein Sicherheitsproblem darstellen können?
Ist soetwas schon gefährlich oder was müsste ich hier noch ändern, damit es gefährlich werden könnten:
Code (perl): (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

#!/usr/bin/perl use warnings; use strict; my $file = 'addressbook.ldif'; print "Eingabe Name : "; my $regex = <>; chomp( $regex ); $regex = qr/$regex/i; open( my $fh, '<', $file ) or die $!; while( <$fh> ) { print if /$regex/; }
mod-edit pq: code-tags hinzugefügt
Last edited: 2009-03-10 14:48:51 +0100 (CET)
- +19 replies
- pq
  
  2009-03-10 14:51
  
  User since
  2009-03-02
  341 Artikel
  Admin
  
  "gefährlich" in dem sinne nicht, eine regex an sich kann halt nur so aufgebaut sein, dass sie den rechner lahmlegt.
  aber da der user das programm sowieso auf demselben rechner ausführt (anscheinend), macht das wohl keinen unterschied.
  
  nur wenn man use re 'eval' benutzt, dann wird auch code ausgeführt.
  insert sig here
  - +11 replies
  - LanX
    
    2009-03-10 16:31
    User since
    2009-03-04
    76 Artikel
    BenutzerIn
    
    Nee, AFAIR kann in die Variableninterpolation code eingeschmuggelt werden
    
    das wurde schon mal im alten Board diskutiert!
    
    UPDATE: konkret, wenn perl während der Variableninterpolation auf ein Hash oder Array zugreift, evaluiert er den Index.
    
    Code (perl): (dl )
    
    $a=~s/a/$b[tuwas()]/
    
    Die Frage ist ob die Variableninterpolation stattfindet, bei qr// wär ich vorsichtig...
    Last edited: 2009-03-10 16:49:40 +0100 (CET)
    - pq
      
      2009-03-10 16:49
      
      User since
      2009-03-02
      341 Artikel
      Admin
      
      und wie soll das gehn, wenn man use re 'eval' nicht benutzt?
      
      edit: du meinst thread nummer 11245? (wir kommen ja übers migrationsforum ran)
      Last edited: 2009-03-10 16:50:34 +0100 (CET)
      insert sig here
    - +9 replies
    - pq
      
      2009-03-10 16:53
      
      User since
      2009-03-02
      341 Artikel
      Admin
      
      2009-03-10T15:31:29 LanX
      UPDATE: konkret, wenn perl während der Variableninterpolation auf ein Hash oder Array zugreift, evaluiert er den Index.
      [...]
      Die Frage ist ob die Variableninterpolation stattfindet, bei qr// wär ich vorsichtig...
      
      probiers doch aus. mit "ich wär vorsichtig" ist dem fragesteller auch nicht geholfen =)
      insert sig here
      - +8 replies
      - LanX
        
        2009-03-10 16:54
        
        User since
        2009-03-04
        76 Artikel
        BenutzerIn
        
        ich denke ich hab dem Fragesteller schon genug geholfen...
        
        +7 replies
        
        pq
        
        2009-03-10 17:10
        
        User since
        2009-03-02
        341 Artikel
        Admin
        
        2009-03-10T15:31:29 LanX
        Nee, AFAIR kann in die Variableninterpolation code eingeschmuggelt werden
        
        2009-03-10T15:54:46 LanX
        ich denke ich hab dem Fragesteller schon genug geholfen...
        
        tschuldigung, aber da hätte ich gerne gewusst, wie das gehen soll bei qr/$variable/
        insert sig here
        
        +6 replies
        
        Gast LanX
        
        2009-03-10 17:26
        
        OK, wenns ums rechthaben geht:
        
        Ich habe bereits Zeit investiert und so kein Exploit hinbekommen!
        
        ABER: Das ichs nicht hinkriege, bedeutet nicht das es nicht ginge...
        
        Jetzt will ich da aber nicht noch mehr zeit investieren... ich habe wie gesagt dem OP schon hinreichend geholfen.
        
        (Ich persönlich würde nie einen ungefilterten String als RegEx zulassen, sicher ist sicher! Was der OP macht ist jetzt sein Bier...)
        
        +5 replies
        
        LanX
        
        2009-03-11 12:43
        
        User since
        2009-03-04
        76 Artikel
        BenutzerIn
        
        Nachtrag:
        
        gestern abend st mir die Idee gekommen es mit
        
        Code: (dl )
        
        (?{ code })
        
        zu probieren, allerdings bekommt man dann im qr() dann eine Fehlermeldung:
        
        Quote
        Eval-group not allowed at runtime, use re 'eval' in regex ...
        
        tatsächlich wurde das aus genau dem Grund disabled:
        
        Quote
        For reasons of security, this construct is
        forbidden if the regular expression involves
        run-time interpolation of variables, unless the
        perilous ""use re 'eval'"" pragma has been used
        (see re), or the variables contain results of
        ""qr//"" operator (see ""qr/STRING/imosx"" in
        perlop).
        
        This restriction is because of the wide-spread and
        remarkably convenient custom of using run-time
        determined strings as patterns. For example:
        
        $re = <>;
        chomp $re;
        $string =~ /$re/;
        
        siehe perlre
        
        Wäre interessant zu wissen, ab welcher Version diese Restriktion gilt ...
        
        EDIT: misst mir fällt gerade auf das die Threads im Testforum wieder verloren gehen. : (
        Last edited: 2009-03-11 12:49:15 +0100 (CET)
        
        +4 replies
        
        pq
        
        2009-03-11 12:52
        
        User since
        2009-03-02
        341 Artikel
        Admin
        
        2009-03-11T11:43:55 LanX
        Quote
        Eval-group not allowed at runtime, use re 'eval' in regex ...
        
        genau deshalb hatte ich ja use re 'eval' erwähnt...
        insert sig here
        
        +3 replies
        
        LanX
        
        2009-03-11 13:17
        
        User since
        2009-03-04
        76 Artikel
        BenutzerIn
        
        Du gibst uns also "dein Ehrenwort, ich wiederhole dein Ehrenwort" dass es sicher ist? ;-)
        
        +2 replies
        
        pq
        
        2009-03-11 13:49
        
        User since
        2009-03-02
        341 Artikel
        Admin
        
        ich behaupte, wenn man damit code einschmuggeln kann, ist es ein bug.
        verwenden würde ich es aber aus den genannten gründen (rechner lahmlegen z.b.) auch nicht, nur auf systemen mit vertrauenswürdigen usern.
        ansonsten nehme ich für sowas auch quotemeta.
        insert sig here
        
        LanX
        
        2009-03-11 13:51
        
        User since
        2009-03-04
        76 Artikel
        BenutzerIn
        
        2009-03-11T12:49:44 pq
        ich behaupte, wenn man damit code einschmuggeln kann, ist es ein bug.
        
        d'accord!
  - +6 replies
  - Gast betterworld
    
    2009-03-10 17:08
    
    Wenn man mal von "use re 'eval'" absieht, ist das naheliegendste Problem erstmal, dass durch so simple Geschichten wie das Fehlen einer schliessenden Klammer eine Exception erzeugt werden kann. Wenn man nicht will, dass das Programm dadurch einfach stirbt, kann man das z.B. mit eval{} abfangen.
    
    Naja, dann gibt es noch die komplizierteren Geschichten (die pq wohl meinte), und zwar Regexes, die einfach verdammt lange bis unendlich laufen oder sehr viel RAM brauchen. Das koennte man vielleicht mit alarm() oder fork/setrlimit vermeiden.
    
    Auf jeden Fall ist es wohl am besten, sich zunaechst zu ueberlegen, ob man es wirklich braucht, dass der Benutzer Regexes angeben darf.
    - +5 replies
    - Gast guest
      
      2009-03-10 19:27
      
      Damit habe ich zuerst versucht, mein Skript sicherer zu machen, aber da ich hier Richtung Entwarnung herausgehört habe, habe ich es wieder herausgenommen, zumal es nicht sehr elegant aussieht.
      
      if ( $regex =~ /[$@&{[(*+#]/ ) {
      print "Nicht erlaubte Zeichen\n";
      exit 1;
      }
      - LanX
        
        2009-03-10 22:44
        
        User since
        2009-03-04
        76 Artikel
        BenutzerIn
        
        umgekehrt wär eleganter und einfacher (und sicherer)
      - +3 replies
      - betterworld
        
        2009-03-11 12:58
        
        User since
        2009-03-09
        16 Artikel
        
        Guest guest
        Damit habe ich zuerst versucht, mein Skript sicherer zu machen, aber da ich hier Richtung Entwarnung herausgehört habe, habe ich es wieder herausgenommen, zumal es nicht sehr elegant aussieht.
        
        if ( $regex =~ /[$@&{[(*+#]/ ) {
        print "Nicht erlaubte Zeichen\n";
        exit 1;
        }
        
        Da Du hier ja fast alle Zeichen verbietest, die irgend besonderes etwas in regulären Ausdrücken machen (abgesehen von "." und "?" wie es mir auf den ersten Blick scheint), frage ich mich, warum Du die Eingabe überhaupt als Regex benutzen moechtest.
        
        Wenn Du das nicht möchtest, kannst Du mithilfe von "\Q$eingabe\E" auch innerhalb eines regulären Ausdruckes die Eingabe als festen String benutzen. Mehr dazu steht in perlre. Außerdem kann man natürlich für einfache Suchen auch mit index() arbeiten.
        
        +2 replies
        
        Gast guest
        
        2009-03-11 19:38
        
        2009-03-10T21:44:23 LanX
        umgekehrt wär eleganter und einfacher (und sicherer)
        
        Ok, habe ich etwas zu umständlich gemacht.
        Noch eleganter und weniger einschränkend finde ich "\Q$eingabe\E" soweit ich das mit vollem Bauch beurteilen kann - index geht in meinem Fall vermutlich nicht:
        
        Code (perl): (dl )
        
        if ( /\A[^\n]*(\s|=)$regex/m and /^mobile:\s\+*\d+/m ) {
        
        Gast guest
        
        2009-03-11 20:34
        
        Code (perl): (dl )
        
        if ( /\A[^\n]*(\s|=)$regex/m and /^mobile:\s\+?\d+/m ) {
  - renee
    
    2009-03-11 15:21
    
    User since
    2009-03-03
    10 Artikel
    ModeratorIn
    
    Es gibt/gab eine Sicherheitslücke in Regulären Ausdrücken. Siehe auch http://perl-nachrichten.de/index.cgi/details/24

View all threads created 2009-03-10 14:46.