Fundacja Perla
Perl, który jest jednym z najpopularniejszych języków skryptowych w świecie systemów Unix i Linux, otrzymał teraz aktualizacje, które wprowadzają najnowsze oficjalne pakiety do wersji 5.28.0. Wielu użytkowników prawdopodobnie nadal korzysta z Perla 5.22 lub innej nieco starszej wersji, ponieważ większość dystrybucji nie miała okazji przetestować nowych pakietów. To samo jest bardziej niż prawdopodobne w przypadku programistów pracujących na platformie Apple macOS.
Kiedy oprogramowanie dostaje nową wersję, zwykle towarzyszą jej listy zmian. Mniejsza liczba pakietów zawiera tabelę zawierającą ponad 700 000 indywidualnych zmian.
Niemniej jednak programiści Perla zgłaszają, że w rzeczywistości wprowadzili tak wiele aktualizacji do hosta skryptów. Jedna z najważniejszych zmian dotyczy obsługi mieszanych skryptów Unicode.
Ataki podszywające się stanowią poważny problem, jeśli chodzi o użycie tekstu Unicode w skrypcie. Tekst cyrylicy, łaciński i grecki można łączyć ze sobą, tworząc naprawdę niezwykłe ciągi znaków, które mogą spowodować, że jakiś kod pomyśli, że otrzymał uzasadnione żądanie. Niektórzy crackerzy mieszali również różne kombinacje znaków Unicode, aby nadać ciągowi wygląd akceptowalny dla użytkownika, mimo że w rzeczywistości nie reprezentuje kodu binarnego, który odpowiadałby temu, co widzi użytkownik.
Eksperci ds. Bezpieczeństwa systemów Windows, macOS i Linux zajęli się tą kwestią i teraz w Perlu pojawiła się nowa konstrukcja wyrażeń regularnych, która umożliwia autorom skryptów łatwe wykrywanie mieszanych ciągów znaków Unicode przed przekazaniem ich do dowolnej innej procedury w skrypcie.
Możesz także łączyć różne typy Unicode razem, używając nowych wywołań. Są one uważane za eksperymentalne, więc na razie będą generować ostrzeżenie eksperymentalne :: script_run, ale można je wyłączyć.
Edycja skryptów w miejscu za pomocą perl -i jest teraz znacznie bezpieczniejsza niż w przeszłości. Wcześniej próby zrobienia tego mogły spowodować usunięcie lub zmianę nazwy pliku wejściowego. Zostało to zmienione, aby zastąpić plik wejściowy tylko wtedy, gdy został zapisany na dysku, a następnie zamknięty.
W wydaniu poprawiono również kilka innych poważnych błędów bezpieczeństwa. Niektóre błędy przepełnienia buforu sterty i przepełnienia buforu nie powinny służyć jako wektor atakujący, ponieważ programiści Perla zaostrzyli kod w tych obszarach.
Tagi Bezpieczeństwo w systemie Linux
