The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Корректирующий релиз Perl 5.14.2 с устранением двух уязвимостей

27.09.2011 09:22

Спустя 4 месяца с момента выхода Perl 5.14.0 увидел свет корректирующий релиз Perl 5.14.2, полностью обратно-совместимый с базовой веткой и содержащий только исправление ошибок и улучшение документации. Относительно прошлой версии патч включает исправления от 9 авторов, насчитывает около 1200 строк и затрагивает 61 файл.

Из исправлений можно отметить устранение двух уязвимостей:

  • CVE-2011-2728: выход за допустимые границы памяти при вызове функции File::Glob::bsd_glob() с неподдерживаемым атрибутом GLOB_ALTDIRFUNC. В случае если скрипт получает параметры вызова File::Glob::bsd_glob() из подконтрольных атакующему внешних источников, возможна организация выполнения кода в систем или инициирование краха. Проблема решена запрещением использования любых неподдерживаемых флагов и установкой всех неиспользуемых указателей в NULL;
  • CVE-2011-2939: переполнение буфера в функции decode_xs из состава модуля Encode. Организовав перекодирование функцией decode_xs специально оформленного блока, злоумышленник может добиться выполнения своего кода в системе.

Из несвязанных с безопасностью изменений можно выделить обновление модулей CPAN (1.9600_01), CPAN::Distribution (1.9602_01), Encode (2.42_01), File::Glob (1.13) и PerlIO::scalar (0.11_01). Для платформы HP-UX PA-RISC/64 налажена поддержка gcc-4.x (не все тесты завершались успешно), обеспечена возможность сборки в Mac OS X 10.7 Lion. Устранена утечка памяти при вызове caller из модуля DB. Решена проблема с крахом при использовании регулярных выражений с определенной комбинацией модификаторов "/aa" и escape-последовательностей "\b". Устранена неприятная ошибка в utf8::decode, из-за которой могло наблюдаться появление в хэшах двух элементах с одинаковым ключом.

  1. Главная ссылка к новости (http://search.cpan.org/~flora/...)
  2. OpenNews: Корректирующий релиз Perl 5.14.1
  3. OpenNews: Релиз Perl 5.14
  4. OpenNews: Релиз Parrot 3.0.0, виртуальной машины для Perl 6
  5. OpenNews: Марафон демонстраций возможностей Perl 6. Perl исполнилось 23 года
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31861-perl
Ключевые слова: perl, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:25, 27/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    6-й скоро в мейнстрим войдёт? Как вообще у Перла с будущим?
     
     
  • 2.2, abra (ok), 11:41, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не знаю как 6й, а у 5го всё за......сь
     
     
  • 3.3, Аноним (-), 12:18, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Доля теряет же раз за разом.
     
  • 2.4, szh (ok), 12:39, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 6-й скоро в мейнстрим войдёт?

    Perl 5 и perl 6 это уже два разных языка.
    Скоро perl 5.14 в мейнстрим войдёт, потом 5.16, потом 5.18 и т д.

    > Как вообще у Перла с будущим?

    http://lwn.net/Articles/458714/

     
     
  • 3.5, Аноним (-), 12:45, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, интересно.
     
  • 2.6, angra (ok), 15:39, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >6-й скоро в мейнстрим войдёт

    Смотрите сами:

    $ time perl6 -e ''

    real 0m1.503s
    user 0m1.364s
    sys 0m0.096s

    $ time perl6 -e 'my @a;push @a,1 for 1..1000'

    real 0m38.946s
    user 0m38.234s
    sys 0m0.544s


    $ time perl -e ''

    real 0m0.004s
    user 0m0.004s
    sys 0m0.000s

    $ time perl -e 'my @a;push @a,1 for 1..1000'

    real 0m0.004s
    user 0m0.004s
    sys 0m0.000s

     
     
  • 3.9, Andrey Mitrofanov (?), 18:51, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > real 0m1.503s
    > real 0m38.946s
    > real 0m0.004s
    > real 0m0.004s

    На втором и следующих запусках (на "горячем" кеше) разница стольже разительна?

    Как Учёные объясняют такую разницу? Опции сборки?..

     
     
  • 4.10, angra (ok), 20:19, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле это и так не первые запуски были. Ну пусть даже будет при последующих запусках разница в несколько миллисекунд. Разницу в несколько порядков это не компенсирует. Честно говоря я готов простить старт в 1.5 секунды для fastcgi применений, но вот 30 с лишним секунд загонять 1000 элементов в массив это epic fail.
    Справедливости ради можно отметить, что за прошедший год скорость значительно возросла, раньше за примерно столько же времени в массив загонялись 100 элементов. То бишь прирост скорости в 10 раз. Вот только для практического применения нужно еще минимум в 1000 раз ускорить.
    Опциями сборки не интересовался. Пакет из debian testing, судя по версии основан на июльском rakudo.

    Как язык perl6 конечно хорош, вот только при отсутствии вменяемой реализации остается витанием в облаках и будущего у него нет.

     
  • 2.7, Аноним (-), 18:02, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >6-й скоро в мейнстрим войдёт? Как вообще у Перла с будущим?

    Мне кажется что перл 6 не оправдает надежд, а вот перл 7 будет на высоте :)

     
     
  • 3.8, Аноним (-), 18:41, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, этого ещё дольше ждать.
     

  • 1.11, iZEN (ok), 21:52, 27/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > pkg_info -Ex perl

    perl-threaded-5.14.1_2
    :( всё ещё нет. Ждём-пождём.

     
     
  • 2.12, Ы (?), 13:09, 01/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Чо там ждать? Поменяй цифирку в портах сам. У меня нормально все собралось.
    # perl -v
    This is perl 5, version 14, subversion 2 (v5.14.2) built for i386-freebsd-thread-multi-64int
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру