Fondation Perl
Perl, qui est l'un des langages de script les plus populaires dans le monde Unix et Linux, a maintenant reçu des mises à jour qui amènent les derniers paquets officiels à la version 5.28.0. De nombreux utilisateurs utilisent probablement encore Perl 5.22 ou une autre version légèrement plus ancienne car la majorité des distributions n’ont pas eu l’opportunité de tester les nouveaux packages. Il en va probablement de même pour les développeurs travaillant sur la plate-forme macOS d'Apple.
Lorsqu'un logiciel reçoit une nouvelle version, des listes de modifications l'accompagnent généralement. Moins de packages sont livrés avec une table contenant plus de 700 000 modifications individuelles.
Néanmoins, les développeurs Perl signalent qu’ils ont en fait effectué autant de mises à jour sur l’hôte de script. L'un des changements les plus importants concerne la prise en charge des scripts Unicode mixtes.
Les attaques par usurpation d'identité sont un problème majeur lorsqu'il s'agit d'utiliser du texte Unicode dans un script. Le texte cyrillique, latin et grec peut être mélangé pour créer des chaînes vraiment inhabituelles qui peuvent faire trébucher du code en pensant qu'il a reçu une demande légitime. Certains crackers ont également mélangé différentes combinaisons de caractères Unicode afin de rendre une chaîne acceptable pour un utilisateur même si elle ne représente pas réellement le code binaire qui correspondrait à ce que l'utilisateur voit.
Les experts en sécurité de Windows, macOS et Linux se sont penchés sur le problème et il existe désormais une nouvelle construction d'expression régulière en Perl qui permet aux scénaristes de détecter facilement les chaînes Unicode mixtes avant de les transmettre à tout autre sous-programme d'un script.
Vous pouvez également combiner différents types d'Unicode en utilisant de nouveaux appels. Ceux-ci sont considérés comme expérimentaux, ils lancent donc un avertissement experimental :: script_run pour le moment, mais cela peut être désactivé.
L'édition de scripts en place avec perl -i est maintenant beaucoup plus sûre qu'elle ne l'était dans le passé. Auparavant, les tentatives pour ce faire pouvaient supprimer ou renommer un fichier d'entrée. Cela a été modifié pour remplacer le fichier d'entrée uniquement lorsqu'il a été écrit sur le disque puis fermé.
Plusieurs autres bogues de sécurité majeurs ont également été corrigés dans la version. Certaines erreurs de dépassement de la mémoire tampon et les dépassements de mémoire tampon ne devraient pas servir de vecteur d'attaque en raison de la mesure dans laquelle les développeurs Perl ont resserré le code dans ces zones.
Mots clés Sécurité Linux
