Еще пишут, что баг начинается от версии perl 5.10, каков наилучший путь замены на deb8 текущего perl 5.20.2-3+deb8u6 на < 5.10?

Это самый идиотский способ решения проблемы. -T - это taint mode, практически уникальная фича перла, позволяющая увеличить безопасность веб-сервисов и скриптов, работающих под рутом. Суть этого режима в том, что данные, полученные из вне, могут быть использованы строго определенным образом, чтобы предотвратить уязвимости вроде SQL-инъекций или выполнения чужого кода eval'ом.

фича крутая

фича крутая, каков неидиотский способ решения данной проблемы?

Соответственно при даунгрейде перла ты просто заглушишь эту ошибку, создающую потенциальную уязвимость. Есть гораздо более простой способ это сделать - убрать '-T' в локальной копии file.pm, но лучше закрыть дырку

Чинить код

уязвимости нет

http://develop.twiki.org/~twiki/cgi-bin/view/Bugs/Item7721 тут пишут, что уязвимость та давно закрыта, но что-то в коде CGI::Session или Twiki считает иначе.

в том файле в указанной строке имеется: sysopen(FH, $path, $mode, $self->{UMask}) or return $self->set_error( «store(): couldn't open '$path': $!» );

никаких -T там нет

Another not-too-convincing workaround is to get rid of the -T switch in the TWiki bin files

В http://twiki.org/cgi-bin/view/Support/SID-02145 опеределили, что $path is tainted. Знаичт, $path нужно сделать безопасным для использования, например прогнать через регулярку, захватывающую разрешенные пути, и взять $1

Решение

Решение в следующем: после обьявления my $path = $self->_file($sid); добавить строку добавить строку: ($path) = $path =~ m/^(.*)$/;

то и будет тот самый untaint путем прогона через регулярку, о котором верно писал @annulen, но которое я, в силу незнания perl не мог реализовать

проблема не в twiki, а в CGI:Session, решение нашлось тут https://foswiki.org/Tasks/Item13938