ruby-dev

In article <1125728642.258688.8357.nullmailer@x31.priv.netlab.jp>,
  Yukihiro Matsumoto <matz@ruby-lang.org> writes:

> もうちょっと具体的にお願いできますか。たぶん私が勘違いして他
> のことを考えているのだと思います。「シェルのメタキャラクタが
> シェルで処理されるときの挙動」でtaintと関係があるモノがあり
> ましたっけ。

たとえば、perlsec の例にある
           system "echo $arg";         # Insecure
というのは taint で防げるといわれている危険性で、最近は OS Command
Injection とも呼ばれますが、この危険性に対する攻撃はメタキャラクタを使
用して行われるところに関係があります。

たとえば、$arg が "; rm -rf /" とかだと困るわけですが、ここでは ; とス
ペースがシェルが解釈するメタキャラクタです。

メタキャラクタというのは要するにエスケープしない限りシェルが word の要
素でないものとして解釈する文字です。そういう文字は、$arg が word にな
ることを意図している場合には意図せざる影響を及ぼします。

では文字列に含まれている文字がすべてメタキャラクタでない、つまり word
の要素になる文字であれば危険はないかというと、そこで今回の空文字列につ
いて疑問が浮かびます。

$arg が空文字列でなかったとすれば、"echo $arg" で echo は引数をひとつ
受け取ります。それに対し、$arg が空文字列だったとすれば、echo は引数を
受け取りません。つまり、"echo $arg" において $arg が word になることを
意図していたとすれば、空文字列も意図せざる影響を及ぼすことになります。

この引数の有無の違いは、; でコマンドが二つに分かれるような変化に比べれ
ば軽微なものですが、それでもあまり自明でない挙動の変化をもたらすことが
あります。たとえば、人工的な例ではありますが、[ruby-dev:26907] であげ
た "grep #{pat} #{file}" では、pat が空文字列であるときに引数がひとつ
ずれ、file が grep の第一引数になって、標準入力から読むようになってし
まいます。

これらの変化はメタキャラクタも空文字列も単一の word という意図とは異な
る構造に解釈 (パーズ) されるという点で、類似性を感じます。

もし、空文字列に taint が伝播するのであれば、メタキャラクタを含む文字
列と同様に空文字列の問題も防げるのではないかと感じるのですが、空文字列
には taint が影響しないとすると、せっかく防げそうなのにもったいないなぁ、
と思うわけです。
-- 
[田中 哲][たなか あきら][Tanaka Akira]

Thread

Prev Next

In This Thread

Prev Next

[#26934] safe level preserved in method — nobuyoshi nakada <nobuyoshi.nakada@...>

[#26935] __send__ in lib — nobuyoshi nakada <nobuyoshi.nakada@...>

[#26942] core dump with ripper — Tanaka Akira <akr@...17n.org>

[#26944] string.c中の文字検索 — Tadashi Saito <shiba@...2.accsnet.ne.jp>

[#26952] ripper problems. — Tanaka Akira <akr@...17n.org>

[#26954] Re: core dump with ripper — Yukihiro Matsumoto <matz@...>

[#26962] Re: about Ruby-GetText — Yukihiro Matsumoto <matz@...>

[#26963] sprintf does not warn in verbose mode. — sheepman <sheepman@...>

[#26964] ripper warnings — Tanaka Akira <akr@...17n.org>

[#26965] patch for RDoc about Module#class_variable_get — sheepman <sheepman@...>

[#26967] Tempfile.new("z").extend(M) — Tanaka Akira <akr@...17n.org>

[#26975] [proposal] ANSI style function — "H.Yamamoto" <ocean@...2.ccsnet.ne.jp>

[#26984] elimination of "extern int errno;" — Takahiro Kambe <taca@...>

[#27044] test errors and failures — nobuyoshi nakada <nobuyoshi.nakada@...>

[#27051] fail on test/rss — "H.Yamamoto" <ocean@...2.ccsnet.ne.jp>

[#27062] test/net/http/test_https_proxy.rb doesn't finish — Tanaka Akira <akr@...17n.org>

[#27077] select pipe support on native Win32 — "U.Nakamura" <usa@...>

[#27097] ruby-cvsのSubject — Kazuhiro NISHIYAMA <zn@...>

[#27102] Re: Welcome to our (ruby developers list) You are added automatically — MIYAMUKO Katsuyuki <miyamuko@...>

[#27105] Dir.glob delimiter — nobuyoshi nakada <nobuyoshi.nakada@...>

[#27111] compile error on hp-ux — MIYAMUKO Katsuyuki <miyamuko@...>

[#27122] flock and ^C — Tanaka Akira <akr@...17n.org>

[#27123] test/socket/test_tcp.rb blocks on NetBSD — Tanaka Akira <akr@...17n.org>

[#27127] can't convert Pathname into String — Tanaka Akira <akr@...17n.org>

[#27129] 1/2 under mathn — Tanaka Akira <akr@...17n.org>

[#27132] BasicSocket#send and ^C — Tanaka Akira <akr@...17n.org>

[#27133] core dump with win32ole — Masaki Suketa <masaki.suketa@...>

[#27134] syswrite and ^C — Tanaka Akira <akr@...17n.org>

[#27136] prohibit calling tainted method — sheepman <sheepman@...>

[#27139] ruby-1.8.3 status for release — Masayoshi Takahashi <maki@...>

[#27140] [PATCH] File#chown(nil, nil) — Minero Aoki <aamine@...>

[#27141] Interix3 (SFU)サポート — Takahiro Kambe <taca@...>

[#27145] test_fileutils fail — sheepman <sheepman@...>

[#27150] test_readline.rb blocks on NetBSD. — Tanaka Akira <akr@...17n.org>

[#27152] File.expand_path(Pathname.new("a")) — Tanaka Akira <akr@...17n.org>

[#27156] close error smashes an exception in a block — Tanaka Akira <akr@...17n.org>

[#27185] PIPE_BUF is not defined — "H.Yamamoto" <ocean@...2.ccsnet.ne.jp>

[#27202] test_dbm and test_gdbm on FC4 — "NAKAMURA, Hiroshi" <nakahiro@...>

[#27226] world writable dir with sticky bit — sheepman <sheepman@...>

[#27233] yaml warnig in verbose mode — sheepman <sheepman@...>

[#27242] Ruby 1.8.3 released — Yukihiro Matsumoto <matz@...>

[#27248] glob from command line still broken in djgpp? — "H.Yamamoto" <ocean@...2.ccsnet.ne.jp>

[#27251] 脆弱性レポート翻訳者募集 — Yukihiro Matsumoto <matz@...>

[#27262] [rails:373] Ruby-1.8.3正式版に変えたらエラー — take_tk <ggb03124@...>

[#27270] ext/tk/sample/demos-en/tcolor.bak — Kazuhiro NISHIYAMA <zn@...>

[#27275] release schedule plan for 1.8.4 — "NARUSE, Yui" <naruse@...>

[#27281] env -i make; fails. — "URABE Shyouhei aka.mput" <root@...>

[#27297] warning of yaml/basenode.rb — 雪見酒 <yukimi_sake@...>

[#27302] warning: 'cdecl' attribute directive ignored — Kazuhiro NISHIYAMA <zn@...>

[#27310] RSSが見えない — Kazuhiro NISHIYAMA <zn@...>

[#27312] many net/http related test failures (Re: [ruby-cvs:15621] ruby, ruby/test/net/http: * test/net/http/test_http.rb: new file.) — Tanaka Akira <akr@...17n.org>

[#27314] test/ripper error (directory cannot be opened on windows) — "H.Yamamoto" <ocean@...2.ccsnet.ne.jp>

[#27316] OptionParser doesn't raise when given h — sheepman <sheepman@...>

[#27317] sizeof(FILE) — Tanaka Akira <akr@...17n.org>

[#27318] Re: [ruby-cvs:15644] ruby, ruby/lib: * lib/optparse.rb (RequiredArgument#parse): not consume unmatched — "U.Nakamura" <usa@...>

[#27321] RubyGemsとOS platformとの関係 — Daigo Moriwaki <techml@...>

[#27324] ext/digest on DrafonFly — Takahiro Kambe <taca@...>

[#27331] possible SEGV in rb_autoload_load? — "H.Yamamoto" <ocean@...2.ccsnet.ne.jp>

[#27334] File#read にゴミがつく — Yusuke ENDOH <mame@...>

[#27335] tcl 8.0 の環境で tcltklib がコンパイルできない — ENDOH Yusuke <mame@...>

[ruby-dev:26966] Re: multiplying empty string

Thread

In This Thread

[#26935] send in lib — nobuyoshi nakada <nobuyoshi.nakada@...>