Perl версия 5.28.0 предоставя на разработчиците основни корекции за сигурност и безопасност

Фондация Perl

Perl, който е един от най-популярните скриптови езици в света на Unix и Linux, вече получи актуализации, които довеждат най-новите официални пакети до версия 5.28.0. Много потребители все още използват Perl 5.22 или друга малко по-стара версия, тъй като повечето дистрибуции не са получили възможност да тестват новите пакети. Същото е повече от вероятно вярно за разработчиците, работещи на платформата на macOS на Apple.

Когато софтуерът получи нова версия, списъци с промени обикновено го придружават. По-малко пакети се доставят с таблица, която включва над 700 000 индивидуални промени.

Независимо от това, разработчиците на Perl съобщават, че всъщност са направили толкова много актуализации на хоста за скриптове. Една от най-важните промени включва поддръжка на смесени Unicode скриптове.

Подвеждащите атаки са основен проблем, когато става въпрос за използването на Unicode текст в скрипт. Текстът на кирилица, латиница и гръцки език може да се смесва, за да се създадат някои наистина необичайни низове, които могат да спънат някакъв код в мисълта, че е получил законна заявка. Някои крекери също са смесили различни комбиниращи Unicode символи заедно, за да направят низ да изглежда приемлив за потребител, въпреки че всъщност не представлява двоичния код, който би съответствал на това, което потребителят вижда.

Експертите по сигурността на Windows, macOS и Linux прецениха проблема и сега в Perl има нова конструкция на регулярни изрази, която позволява на сценаристите лесно да откриват смесени Unicode низове, преди да ги предадат на друга подпрограма в скрипт.

Можете също така да комбинирате различни видове Unicode заедно, като използвате някои нови обаждания. Те се считат за експериментални, така че засега ще изхвърлят предупреждение Experimental :: script_run, но това може да бъде деактивирано.

Редактирането на скриптове на място с perl -i сега е много по-безопасно, отколкото в миналото. Преди това опитите за това биха могли да изтрият или преименуват входящ файл. Това е променено, за да замени входния файл само когато е записан на диск и след това е затворен.

Няколко други големи грешки в сигурността също бяха коригирани в изданието. Определени грешки при препълване на буфер на купчина и свръх четене на буфер не трябва да служат като вектор на атакуващ поради това колко разработчиците на Perl стегнаха кода в тези области.