]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - doc/bugs/taint_issue_with_regular_expressions.mdwn
web commit from 85.83.79.95: poll vote (Accept both)
[git.ikiwiki.info.git] / doc / bugs / taint_issue_with_regular_expressions.mdwn
index e05a59879d7b32a508ecb212fde35652a6c3df7a..6544c8aaeb553bd09491b253adc69dc2e7f7b0e4 100644 (file)
@@ -19,4 +19,17 @@ which is exactly the same regular expression drawn out as a constant.  It appear
 > checking in the debian package. You can do the same by building ikiwiki
 > with NOTAINT=1. :-( --[[Joey]]
 
 > checking in the debian package. You can do the same by building ikiwiki
 > with NOTAINT=1. :-( --[[Joey]]
 
-[[tag done]]
+----------------
+Continuing to dig into the problem I reported, it may not be taint after all.  Running strings on the ikiwiki.cgi wrapper, I see stuff like:
+
+    'wiki_file_regexp' => bless( do{\(my $o = undef)}, 'Regexp' )
+
+without any payload of the actual regexp, and that would also certainly also have the observed effect of the regexps being completely broken while running in CGI mode.  This seems to implicate Data::Dumper (2.101).  After upgrading Data::Dumper to 2.121 I get:
+
+    'wiki_file_regexp' => qr/(?-xism:(^[-[:alnum:]_.:\/+]+$))/
+
+This would call for at most an installation prerequisite of Data::Dumper >= 1.121.  A look at the module's changelog shows that no intervening versions were actually released, so 1.121 would be the minimal good one.
+
+> You must have a very old version of perl there. This seems to be a bug in
+> data dumper before 2.11, which didn't properly dump q// objects. Prereq
+> added, [[done]] --[[Joey]]