Verzija Perl 5.28.0 pruža programerima glavne popravke za sigurnost i sigurnost

Zaklada Perl

Perl, koji je jedan od najpopularnijih skriptnih jezika u svijetu Unixa i Linuxa, sada je primio ažuriranja koja dovode najnovije službene pakete do verzije 5.28.0. Mnogi korisnici više nego vjerojatno još uvijek koriste Perl 5.22 ili neku drugu nešto stariju verziju, jer većina distribucija nije dobila priliku testirati nove pakete. Isto je više nego vjerojatno i za programere koji rade na Appleovoj macOS platformi.

Kad softver dobije novo izdanje, obično ga prate popisi promjena. Manje paketa dolazi sa tablicom koja sadrži preko 700 000 pojedinačnih preinaka.

Unatoč tome, programeri Perla izvještavaju da su zapravo izvršili toliko ažuriranja hosta za skriptiranje. Jedna od najvažnijih promjena uključuje podršku za mješovite Unicode skripte.

Spoofing napadi glavni su problem kada je riječ o upotrebi Unicode teksta u skripti. Tekst na ćirilici, latinici i grčkom može se kombinirati kako bi se stvorile neke zaista neobične žice koje mogu spotaknuti neki kôd misleći da je dobio legitiman zahtjev. Neki su krekeri također pomiješali različite kombinacije Unicode znakova kako bi niz izgledao prihvatljivo za korisnika iako zapravo ne predstavlja binarni kôd koji bi odgovarao onome što korisnik vidi.

Stručnjaci za sigurnost sustava Windows, macOS i Linux odmjerili su problem i u Perlu postoji nova konstrukcija regularnih izraza koja omogućava skriptorima da lako otkriju miješane Unicode nizove prije nego što ih proslijede u bilo koju drugu potprogram u skripti.

Također možete kombinirati različite vrste Unicodea koristeći neke nove pozive. Oni se smatraju eksperimentalnim, pa će zasad izbaciti eksperimentalno upozorenje :: script_run, ali to se može onemogućiti.

Uređivanje skripti na mjestu pomoću perl -i sada je mnogo sigurnije nego što je bilo u prošlosti. Prije su pokušaji da se to učini mogli izbrisati ili preimenovati ulaznu datoteku. To je izmijenjeno kako bi zamijenilo ulaznu datoteku samo kada je zapisana na disk, a zatim zatvorena.

Nekoliko drugih glavnih sigurnosnih grešaka ispravljeno je i u izdanju. Određene pogreške preljeva međuspremnika i pretjerano očitavanje međuspremnika ne bi trebale poslužiti kao vektor napadača zbog toga koliko su Perlovi programeri pooštrili kôd na tim područjima.