<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Sep 3, 2014 at 5:45 PM, Dietmar Maurer <span dir="ltr"><<a href="mailto:dietmar@proxmox.com" target="_blank">dietmar@proxmox.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="">> Perl considers this construction non-secure when running with "-T". It assumes<br>

> that $hostname variable can contain something dangerous to run in a shell, for<br>
> example, $hostname="; rm -rf /" and we get "Insecure dependency in open<br>
> while running with -T switch" message in:<br>
> open (MAIL,"|sendmail -B 8BITMIME -f $mailfrom $rcvrarg") || ...<br>
><br>
> More is here <a href="http://en.wikipedia.org/wiki/Taint_checking" target="_blank">http://en.wikipedia.org/wiki/Taint_checking</a><br>
<br>
</div>Sure, but your fix is wrong. You need to 'untaint' $hostname instead.<br>
Search the web for "perl untaint" ...<br>
</blockquote></div><br><div>If was just the same before my patch in VZDump.pm and worked perfectly:<br>print MAIL "FROM: vzdump backup tool <root>\n";<br><br></div><div>And this still works with my patch because sendmail adds hostname automatically. If you think this is not right I can update with untaint.</div>
</div></div>