קרן פרל
פרל, שהיא אחת משפות התסריט הפופולריות ביותר בעולם יוניקס ולינוקס, קיבלה כעת עדכונים המביאים את החבילות הרשמיות האחרונות לגירסה 5.28.0. סביר להניח שמשתמשים רבים עדיין מריצים את Perl 5.22 או גרסה קצת יותר ישנה מכיוון שרוב הפצות לא קיבלו את ההזדמנות לבדוק את החבילות החדשות. הדבר נכון ככל הנראה לגבי מפתחים העובדים על פלטפורמת ה- MacOS של אפל.
כאשר תוכנה מקבלת מהדורה חדשה, לרוב רשימות השינויים נלוות אליה. פחות חבילות מגיעות עם טבלה הכוללת למעלה מ- 700,000 שינויים בודדים.
עם זאת, מפתחי פרל מדווחים שהם באמת ביצעו עדכונים רבים כל כך למארח התסריט. אחד השינויים החשובים ביותר כולל תמיכה בסקריפטים מעורבים של Unicode.
התקפות זיוף הן בעיה מרכזית בכל הנוגע לשימוש בטקסט Unicode בתסריט. ניתן לערבב טקסט קירילי, לטיני ויווני יחד כדי ליצור כמה מיתרים יוצאי דופן שיכולים להכשיל קוד כלשהו כדי לחשוב שהוא קיבל בקשה לגיטימית. כמה קרקרים שילבו גם שילוב של תווי Unicode שונים על מנת לגרום למחרוזת להיראות מקובלת על המשתמש, למרות שהוא אינו מייצג את הקוד הבינארי שיתאים למה שהמשתמש רואה.
מומחי אבטחה של Windows, macOS ו- Linux שקלו את הנושא וכעת יש פרל קונסטרוקציה חדשה של פרל המאפשרת לכותבי תסריטים לזהות בקלות מיתרי Unicode מעורבים לפני שהם מעבירים אותם לכל תת-דרך אחרת בתסריט.
אתה יכול גם לשלב סוגים שונים של Unicode יחד באמצעות כמה שיחות חדשות. אלה נחשבים לניסויים, ולכן הם יזרקו לעת עתה אזהרה ניסיונית :: script_run, אך ניתן להשבית זאת.
עריכת סקריפטים במקום עם perl -i היא עכשיו הרבה יותר בטוחה מבעבר. בעבר, ניסיונות לעשות זאת עלולים למחוק או לשנות שם של קובץ קלט. זה שונה כדי להחליף את קובץ הקלט רק כאשר הוא נכתב לדיסק ואז נסגר.
כמה שגיאות אבטחה מרכזיות אחרות תוקנו גם בשחרור. שגיאות מסוימות של הצפת מאגר ערימה וקריאות יתר של מאגר אינן אמורות לשמש כווקטור תוקף בגלל כמה המפתחים של פרל הידקו את הקוד באזורים אלה.
תגים אבטחת לינוקס
