Hallo, die Bugs waren interessant, aber die Forderung kein Perl mehr zu verwenden ist Schwachsinn*! Mit Bugs ist in _jeder_ Software zu rechnen, also auch in OTRS. Aber für die hier gezeigten Bugs ist OTRS nicht anfällig. Um CGI.pm gibt es einen Wrapper, der die param()-Methode immer im Skalarkontext aufruft außer man sagt es ganz explizit ("GetArray()" Methode in Kernel/System/Web/Request.pm). Und quote() aus DBI.pm wird auch nicht aufgerufen, sondern es werden die sogenannten "prepared statements" verwendet, die dafür nicht anfällig sind. - Renée * - Probleme finden sich in jeder Sprache - 20 Jahre alte "Bugs" gibt's immer wieder mal, dieses Jahr wurden einige davon ja auch medial groß begleitet - Perl entwickelt sich auch weiter - "List flattening" ist Bestandteil jedes Perl-Einsteiger-Kurses. - Der Vortragende outet sich ja schon zu Anfang, dass er Perl-Hasser ist. On 29.12.2014 23:29, Lothar Kimmeringer wrote:
Hallo,
vor einer Stunde lief ja beim 31C3 der Vortrag zum Thema Perl und warum man es nicht mehr verwenden sollte. Das Video wird im Laufe der naechsten Stunden online sein, dann kann ich den entsprechenden Link zur Verfuegung stellen.
Wurde OTRS hinsichtlich der gemeldeten Probleme angepasst und ist das letzte Update die Folge davon (die Beschreibung ist da ein bisschen vage) oder ist weiterhin das System angreifbar und mit SQL-Injektion und anderen Anfaelligkeiten zu rechnen (Ueberschreiben des verified users, etc.)? Wenn ihr daran noch arbeiten muesst, welche Versionen werden gefixed und wann kann damit gerechnet werden?
Danke und Gruesse, Lothar --------------------------------------------------------------------- OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de
-- Perl / OTRS development: http://perl-services.de OTRS AddOn repository: http://opar.perl-services.de