On Thu, 21 Oct 1999, Stanislav Malyshev a.k.a Frodo wrote:
> >> Во, нашел что это. Есть такой модуль mod_auth_ext для внешней авторизации
> >> (через внешнюю программу). Исторически сложилось, что приходится этим
> >> пользоваться. Так вот, программа получает в переменных USER и PASS те самые
> >> логин и пароль! Хе-хе... Порлучается, что апач после вызова этой проги и
> >> завершения запроса не удалил из окружения авторизационные переменные 8-()
>
> Гм. Это серьезный баг в этом самом модуле. Хотя непонятно, почему он эти
> переменные ставил в *своем* environment, а не в оном вызываемого процесса?
> А использовать уже существующую переменную USER - и вовсе глупо...
Это так себе, цветочки. Существует очень немного апачевских модулей без
дыр. А мейнтейнеры пакетов суют модули в пакеты не глядя. Я написал в своё
время дебиановскому мейнтейнеру апача, что не надо включать в
дистрибутивный пакет mod_auth_pgsql, который весь состоит из потенциальных
buffer overflows - ни ответа, ни привета.
--
Artem Chuprina E-mail: ran@pirit.com
Network Administrator FIDO: 2:5020/371.32
PIRIT Corp. Phone: +7(095) 115-7101
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
