A Perl 5.28.0 verzió a fejlesztők számára jelentős biztonsági és biztonsági javításokat biztosít

Perl Alapítvány

A Perl, amely az egyik legnépszerűbb szkriptnyelv a Unix és a Linux világában, most olyan frissítéseket kapott, amelyek a legfrissebb hivatalos csomagokat frissítik az 5.28.0 verzióra. Sok felhasználó valószínűleg még mindig a Perl 5.22-et vagy egy másik valamivel régebbi verziót futtat, mert a disztribúciók többsége nem kapott lehetőséget az új csomagok tesztelésére. Ugyanez több mint valószínű az Apple macOS platformján dolgozó fejlesztőkre.

Amikor a szoftver új kiadást kap, a változások listája általában kíséri. Kevesebb csomaghoz tartozik egy táblázat, amely több mint 700 000 egyedi módosítást tartalmaz.

Ennek ellenére a Perl fejlesztői arról számolnak be, hogy valóban annyi frissítést hajtottak végre a szkriptek gazdagépén. Az egyik legfontosabb változás a vegyes Unicode parancsfájlok támogatását jelenti.

A hamis támadások komoly problémát jelentenek az Unicode szöveg használatában egy szkriptben. A cirill, a latin és a görög szöveg összekeverhető, és valóban szokatlan karakterláncokat hozhat létre, amelyek fel tudnak emelni egy kódot arra gondolva, hogy jogos kérést kapott. Egyes crackerek különböző Unicode karaktereket is összekevertek annak érdekében, hogy egy karakterlánc elfogadható megjelenést mutasson a felhasználó számára, annak ellenére, hogy valójában nem azt a bináris kódot képviseli, amely megfelelne annak, amit a felhasználó lát.

A Windows, a macOS és a Linux biztonsági szakértői mérlegelték a kérdést, és most egy új reguláris kifejezés-konstrukció van a Perlben, amely lehetővé teszi a forgatókönyvírók számára, hogy könnyedén észleljék a vegyes Unicode-karakterláncokat, mielőtt azokat a szkript bármely más alprogramjára továbbítanák.

Kombinálhat különböző típusú Unicode-okat is néhány új hívás segítségével. Ezeket kísérleti jellegűnek tekintik, ezért egyelőre kísérleti :: script_run figyelmeztetést dobnak, de ez kikapcsolható.

A szkriptek szerkesztése a perl -i használatával sokkal biztonságosabb, mint a múltban volt. Korábban az erre tett kísérletek törölhettek vagy átnevezhettek egy bemeneti fájlt. Ez csak akkor változott meg, hogy a bemeneti fájlt csak akkor cserélje ki, ha azt kiírta lemezre, majd bezárta.

Számos további jelentős biztonsági hibát kijavítottak a kiadásban is. Bizonyos halom puffer túlcsordulási hibák és a puffer túlolvasásai nem szolgálhatnak támadó vektorként, mert a Perl fejlesztői mennyire szigorították a kódot ezeken a területeken.