Yayasan Perl
Perl, yang merupakan salah satu bahasa skrip yang paling popular di dunia Unix dan Linux, kini telah menerima kemas kini yang membawa pakej rasmi terbaru hingga versi 5.28.0. Sebilangan besar pengguna kemungkinan besar masih menjalankan Perl 5.22 atau versi lain yang agak lama kerana majoriti distro belum mendapat peluang untuk menguji pakej baru. Perkara yang sama lebih mungkin berlaku bagi pemaju yang bekerja di platform macOS Apple.
Apabila perisian mendapat pelepasan baru, senarai perubahan biasanya menyertainya. Lebih sedikit pakej dilengkapi dengan jadual yang menampilkan lebih daripada 700,000 perubahan individu.
Walaupun begitu, pembangun Perl melaporkan bahawa mereka benar-benar telah membuat banyak kemas kini kepada hos skrip. Salah satu perubahan yang paling penting melibatkan sokongan untuk skrip Unicode bercampur.
Serangan spoofing adalah masalah utama ketika menggunakan teks Unicode dalam skrip. Teks Cyrillic, Latin dan Yunani dapat dicampurkan bersama untuk membuat beberapa rentetan yang sangat luar biasa yang dapat menambahkan beberapa kod dengan berfikir bahawa ia menerima permintaan yang sah. Beberapa cracker juga telah mencampurkan watak gabungan Unicode yang berbeza untuk menjadikan rentetan kelihatan diterima oleh pengguna walaupun sebenarnya tidak mewakili kod binari yang sesuai dengan apa yang dilihat pengguna.
Pakar keselamatan Windows, macOS dan Linux mempertimbangkan masalah ini dan kini terdapat konstruksi ekspresi biasa baru di Perl yang membolehkan penulis skrip mengesan rentetan Unicode bercampur dengan mudah sebelum menyebarkannya ke subrutin lain dalam skrip.
Anda juga boleh menggabungkan pelbagai jenis Unicode bersama menggunakan beberapa panggilan baru. Ini dianggap eksperimental, oleh itu mereka akan memberi amaran :: script_run eksperimental buat masa ini, tetapi ini dapat dilumpuhkan.
Mengedit skrip dengan perl -i kini jauh lebih selamat daripada sebelumnya. Sebelumnya, usaha untuk melakukan ini dapat menghapus atau mengubah nama fail input. Ini telah diubah untuk menggantikan fail input hanya apabila telah ditulis ke disk dan kemudian ditutup.
Beberapa pepijat keselamatan utama yang lain juga diperbaiki dalam pelepasan tersebut. Kesalahan limpahan penimbunan timbunan tertentu dan pembacaan lebihan penyangga tidak boleh berfungsi sebagai vektor penyerang kerana seberapa banyak pembangun Perl mengetatkan kod di kawasan ini.
Teg Keselamatan Linux
