Perl версии 5.28.0 предоставляет разработчикам основные исправления безопасности и защиты

Фонд Perl

Perl, который является одним из самых популярных языков сценариев в мире Unix и Linux, теперь получил обновления, которые содержат последние официальные пакеты до версии 5.28.0. Многие пользователи, скорее всего, все еще используют Perl 5.22 или другую немного более старую версию, потому что у большинства дистрибутивов нет возможности протестировать новые пакеты. То же самое, скорее всего, относится к разработчикам, работающим над платформой Apple macOS.

Когда программное обеспечение получает новую версию, это обычно сопровождается списком изменений. В меньшее количество пакетов входит таблица, содержащая более 700 000 индивидуальных изменений.

Тем не менее, разработчики Perl сообщают, что на самом деле они внесли столько обновлений в хост сценариев. Одно из наиболее важных изменений касается поддержки смешанных сценариев Unicode.

Атаки с использованием спуфинга являются серьезной проблемой, когда дело доходит до использования текста Unicode в сценарии. Кириллица, латинский и греческий текст могут быть смешаны вместе, чтобы создать действительно необычные строки, которые могут сбить с толку некоторый код, считая, что он получил законный запрос. Некоторые взломщики также смешивают различные комбинации символов Unicode вместе, чтобы строка выглядела приемлемой для пользователя, даже если она на самом деле не представляет двоичный код, который соответствовал бы тому, что видит пользователь.

Эксперты по безопасности Windows, macOS и Linux взвесили эту проблему, и теперь в Perl появилась новая конструкция регулярного выражения, которая позволяет авторам сценариев легко обнаруживать смешанные строки Unicode, прежде чем передавать их в любую другую подпрограмму в сценарии.

Вы также можете комбинировать разные типы Unicode, используя несколько новых вызовов. Они считаются экспериментальными, поэтому на время будут выдавать экспериментальное предупреждение :: script_run, но его можно отключить.

Редактирование сценариев на месте с помощью perl -i теперь намного безопаснее, чем это было раньше. Ранее попытки сделать это могли удалить или переименовать входной файл. Это было изменено для замены входного файла только тогда, когда он был записан на диск и затем закрыт.

В этом выпуске также было исправлено несколько других серьезных ошибок безопасности. Определенные ошибки переполнения буфера кучи и переполнения буфера не должны служить вектором атаки злоумышленника из-за того, насколько разработчики Perl ужесточили код в этих областях.