Perl version 5.28.0 ger utvecklare stora säkerhets- och säkerhetsfixar

Perl Foundation

Perl, som är ett av de mest populära skriptspråken i Unix- och Linux-världen, har nu fått uppdateringar som ger de senaste officiella paketen upp till version 5.28.0. Många användare kör mer än sannolikt fortfarande Perl 5.22 eller en annan något äldre version eftersom en majoritet av distros inte har fått möjlighet att testa de nya paketen. Detsamma gäller mer än troligt för utvecklare som arbetar på Apples macOS-plattform.

När programvaran får en ny version följer den vanligtvis listor med ändringar. Färre paket levereras med en tabell som innehåller över 700 000 individuella ändringar.

Ändå rapporterar Perl-utvecklare att de faktiskt har gjort så många uppdateringar till skriptvärd. En av de viktigaste förändringarna innebär stöd för blandade Unicode-skript.

Spoofing-attacker är ett stort problem när det gäller användning av Unicode-text i ett skript. Kyrillisk, latinsk och grekisk text kan blandas för att skapa några riktigt ovanliga strängar som kan ge upphov till någon kod för att tro att den fick en legitim begäran. Vissa crackers har också blandat olika kombinationer av Unicode-tecken för att få en sträng att se acceptabel ut för en användare trots att den inte representerar den binära kod som motsvarar vad användaren ser.

Säkerhetsexperter för Windows, macOS och Linux vägde in frågan och det finns nu en ny regelbunden expressionskonstruktion i Perl som gör att manusförfattare enkelt kan upptäcka blandade Unicode-strängar innan de skickas till någon annan underrutin i ett manus.

Du kan också kombinera olika typer av Unicode tillsammans med några nya samtal. Dessa betraktas som experimentella, så de kastar en experimentell :: script_run-varning för tillfället, men den kan inaktiveras.

Redigering av skript på plats med perl -i är nu mycket säkrare än tidigare. Tidigare kan försök att göra detta ta bort eller byta namn på en inmatningsfil. Detta har ändrats för att ersätta inmatningsfilen endast när den har skrivits ut till disk och sedan stängts.

Flera andra stora säkerhetsfel korrigerades också i utgåvan. Vissa heap-buffertöverskridande fel och buffertöverläsningar borde inte fungera som en angriparvektor på grund av hur mycket Perls utvecklare skärpt upp koden i dessa områden.