Bug 24839 - Insecure LD_LIBRARY_PATH handling in /usr/lib/openmpi/bin/mpivars.sh
Summary: Insecure LD_LIBRARY_PATH handling in /usr/lib/openmpi/bin/mpivars.sh
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: openmpi (show other bugs)
Version: unstable
Hardware: all Linux
: P3 major
Assignee: Andrew Savchenko
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2010-12-29 20:22 MSK by Ivan A. Melnikov
Modified: 2011-01-12 08:43 MSK (History)
3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Ivan A. Melnikov 2010-12-29 20:22:09 MSK 
Конструкция

LD_LIBRARY_PATH=/usr/lib/openmpi/lib:$LD_LIBRARY_PATH

при отсутсвии LD_LIBRARY_PATH раскрывается в

LD_LIBRARY_PATH=foo:

что эквивалентно

LD_LIBRARY_PATH=foo:.

Это означает, библиотеки ищутся в текущем каталоге ДО системного, что может привести к проблемам в безопастности, учитывая, что многие пользователи OpenMPI добавляют 

source /usr/lib/openmpi/bin/mpivars.sh

себе в ~/.bashrc.

К сожа

Более безопастной конструкцией будет

LD_LIBRARY_PATH=/usr/lib/openmpi/lib${LD_LIBRARY_PATH:+:$LD_LIBRARY_PATH}

Метод решения взят отсюда: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=451559
Comment 1 Denis Pynkin 2010-12-30 11:24:44 MSK 
спасибо.
Comment 2 Denis Pynkin 2011-01-11 15:24:05 MSK 
task #36824
Comment 3 Ivan A. Melnikov 2011-01-12 08:43:15 MSK 
спасибо