Perl-versio 5.28.0 tarjoaa kehittäjille merkittäviä tietoturva- ja turvallisuuskorjauksia

Perl-versio 5.28.0 tarjoaa kehittäjille merkittäviä tietoturva- ja turvallisuuskorjauksia

Turvallisuus / Perl-versio 5.28.0 tarjoaa kehittäjille merkittäviä tietoturva- ja turvallisuuskorjauksia 1 minuutti luettu

Perlin säätiö

Perl, joka on yksi suosituimmista komentosarjakielistä Unix- ja Linux-maailmassa, on nyt saanut päivitykset, jotka tuovat uusimmat viralliset paketit versioon 5.28.0. Monet käyttäjät käyttävät todennäköisesti edelleen Perl 5.22: ta tai muuta hieman vanhempaa versiota, koska suurin osa distroista ei ole saanut mahdollisuutta testata uusia paketteja. Sama pätee enemmän kuin todennäköisesti kehittäjiin, jotka työskentelevät Applen macOS-alustalla.



Kun ohjelmisto saa uuden julkaisun, muutosluettelot ovat yleensä sen mukana. Vähemmän paketteja toimitetaan taulukossa, joka sisältää yli 700 000 yksittäistä muutosta.



Siitä huolimatta Perlin kehittäjät raportoivat, että he ovat todella päivittäneet niin monta komentosarjapalvelinta. Yksi tärkeimmistä muutoksista sisältää sekoitettujen Unicode-komentosarjojen tuen.

Huijaushyökkäykset ovat suuri ongelma, kun on kyse Unicode-tekstin käytöstä komentosarjassa. Kyrilliset, latinankieliset ja kreikkalaiset tekstit voidaan sekoittaa keskenään luomaan todella epätavallisia merkkijonoja, jotka voivat sietää jonkin verran koodia ajattelemalla, että se sai laillisen pyynnön. Jotkut hakkerit ovat myös sekoittaneet erilaisia ​​yhdistämällä Unicode-merkkejä, jotta merkkijono näyttää käyttäjältä hyväksyttävältä, vaikka se ei todellakaan edistä binäärikoodia, joka vastaisi käyttäjän näkemää.



Windows-, macOS- ja Linux-tietoturva-asiantuntijat punnitsivat asiaa, ja Perlissä on nyt uusi säännöllisen lausekkeen rakenne, jonka avulla käsikirjoittajat voivat tunnistaa helposti sekoitetut Unicode-merkkijonot ennen niiden siirtämistä muille komentosarjan aliohjelmille.

Voit myös yhdistää erityyppisiä Unicode-tunnuksia yhdessä uusien puheluiden avulla. Näitä pidetään kokeellisina, joten he antavat kokeellisen :: script_run -varoituksen toistaiseksi, mutta tämä voidaan poistaa käytöstä.

Komentosarjojen muokkaaminen paikalleen perl -i: n kanssa on nyt paljon turvallisempaa kuin aiemmin. Aikaisemmin tämän tekeminen yritti poistaa tai nimetä syötetiedoston uudelleen. Tätä on muutettu korvaamaan syötetiedosto vasta, kun se on kirjoitettu levylle ja suljettu.



Myös useita muita merkittäviä tietoturvavirheitä korjattiin julkaisussa. Tietyt kasapuskurin ylivuotovirheet ja puskurin ylilukemat eivät saisi toimia hyökkääjävektorina, koska Perlin kehittäjät tiukensivat koodia näillä alueilla.

Tunnisteet Linux-tietoturva