Опасное sendmail поведение?
Что продолжается здесь??
sendmail cat/etc/passwd
sendmail cat\etc\passwd
sendmail xxxcat/etc/passwd
Почему в мире это на самом деле выполняет команду кошки? Это работает, по крайней мере, над Ядром Fedora 4 O/S (да, это старо, но все еще...) с Постфиксом.
Действительно ли это - известное (и зафиксированный) ошибка?
1 ответ
Я протестировал Постфикс 2.7.1-1 (Debian), и ни один из тех не работает, как Вы описали. cat не выполняется. (И честно говоря, я не могу вообразить возможную причину, почему был бы sendmail выполните произвольную часть его аргумента просто, потому что это, оказывается, говорит"cat".)
Несомненно, если Вы strace sendmail процесс, Вы могли бы видеть файл /etc/passwd быть open()редактор, но это абсолютно нормально: sendmail запрашивает настоящее имя Вашей учетной записи, для заполнения From: заголовок правильно.
Но strace не показывает вызовов exec*(), за исключением того, который запускается sendmail самостоятельно.
Если Вы все еще полагаете, что это - ошибка,
попробуйте абсолютно несвязанный файл вместо этого:
sendmail cat/etc/fstabЗдесь
fstabчто-то, что обычно никогда не читалось бы.удостовериться
sendmailне псевдоним оболочки или функция:$ type sendmail sendmail is /usr/sbin/sendmailИ Постфикс обновления.
(да, это старо, но все еще...),
Никогда не жалуйтесь на ошибки в старых версиях программного обеспечения, если Вы не подтвердили, что они присутствуют в абсолютно последней версии также.