В библиотеке PCRE (http://www.pcre.org/) (Perl-Compatible Regular Expression), использующейся во многих проектах, обнаружено (http://secunia.com/advisories/27543/) несколько серьезных уязвимостей, который потенциально могут привести к возможности выполнения кода злоумышленника.

Что касается Perl, то там тоже присутствует (http://secunia.com/advisories/27546/) уязвимость дающая возможность злоумышленнику выполнить свой код, проблема проявляется при использовании Unicode символов внутри регулярного выражения.

Уязвимости были устранены в PCRE 7.3 и Perl 5.9.5 (экспериментальная ветка).

URL: http://secunia.com/advisories/27543/
Новость: http://www.opennet.me/opennews/art.shtml?num=12700

• Уязвимость в Perl и библиотеке PCRE,cvsup, 21:45 , 07-Ноя-07
• Уязвимость в Perl и библиотеке PCRE,Александр, 23:16 , 07-Ноя-07
• Уязвимость в Perl и библиотеке PCRE,Аноним, 09:07 , 08-Ноя-07
• Уязвимость в Perl и библиотеке PCRE,Александр, 11:09 , 08-Ноя-07
• Уязвимость в Perl и библиотеке PCRE,999, 17:18 , 08-Ноя-07
• Уязвимость в Perl и библиотеке PCRE,Moralez, 03:28 , 09-Ноя-07

по крайней мере, в репозитории портов FreeBSD присутствует патч для исправления уязвимости для версии perl 5.8
http://www.freebsd.org/cgi/cvsweb.cgi/ports/lang/perl5.8/fil...

В репозитории Debian обновлённая версия есть со вчерашнего дня (или, возможно, с утра сегодняшнего если учесть часовые пояса - об исправлении прочитал в рассылке прошлой ночью). http://www.debian.org/security/2007/dsa-1400

Vot esli bi vmesto PERL bilos slovo Java commentov bilo bi po bolshe, tipa: Java ni nachto ne goditca i tak dalee

Нет, если бы на месте Perl был PHP, вот тогда бы можно было ожидать флейм. А с Java - не уверен. Всё-таки и в Perl, и в Java не так часто находят уязвимости.

для фрей порт 5.8.8_1

Интересно, в убунту 7.10 попала уже исправленная версия или они просто забили на это дело? Если второе, то вообще ужас! Я, когда её ставил, думал, что это Дебиан с более свежим ПОДДЕРЖИВАЕМЫМ софтом, а выходит....... 8-0