Verwundbarkeiten durch Format-Strings in Perl
Steven Christey beschreibt in einem Paper die Perl-spezifischen Implikationen von Format-String-Verwundbarkeiten.
Steven Christey beleuchtet in seinem Paper "Format String Vulnerabilities in Perl Programs" sehr ausführlich die spezifischen Details von Perl bei der Behandlung der Formatierungsanweisungen, die beispielsweise von der Funktion printf() ausgewertet werden. In Perl kann es durch derartige Verwundbarkeiten nicht wie etwa in C direkt zur Ausführung von beliebigem Schadcode kommen und ein so genannter "Taint Checker" schränkt die Gefahren weiter ein. Doch die Möglichkeiten durch Denial-Of-Service, Preisgabe programminterner Informationen und Modifikation von Variableninhalten bringen weitere Implikationen für die Sicherheit betroffener Programme mit sich. Anhand vieler Beispiele mit verwundbarem Code schafft das Paper ein Bewusstsein für die Problematik und gibt auch Hinweise, wie sich Format-String-Verwundbarkeiten vermeiden lassen.
Siehe dazu auch:
Format String Vulnerabilities in Perl Programs von Steven Christey (ju)
