Perl Version 5.28.0 bietet Entwicklern wichtige Sicherheitsupdates

Perl Foundation

Perl, eine der beliebtesten Skriptsprachen in der Unix- und Linux-Welt, hat jetzt Updates erhalten, die die neuesten offiziellen Pakete auf Version 5.28.0 bringen. Viele Benutzer verwenden höchstwahrscheinlich noch Perl 5.22 oder eine etwas ältere Version, da die meisten Distributionen nicht die Möglichkeit haben, die neuen Pakete zu testen. Gleiches gilt höchstwahrscheinlich für Entwickler, die an der macOS-Plattform von Apple arbeiten.

Wenn Software eine neue Version erhält, werden diese normalerweise von Änderungslisten begleitet. Weniger Pakete werden mit einer Tabelle geliefert, die über 700.000 individuelle Änderungen enthält.

Trotzdem berichten Perl-Entwickler, dass sie tatsächlich so viele Updates für den Scripting-Host vorgenommen haben. Eine der wichtigsten Änderungen betrifft die Unterstützung gemischter Unicode-Skripte.

Spoofing-Angriffe sind ein großes Problem bei der Verwendung von Unicode-Text in einem Skript. Kyrillischer, lateinischer und griechischer Text können miteinander gemischt werden, um einige wirklich ungewöhnliche Zeichenfolgen zu erstellen, die einen Code auslösen können, der den Eindruck erweckt, dass eine legitime Anfrage eingegangen ist. Einige Cracker haben auch verschiedene kombinierte Unicode-Zeichen miteinander gemischt, um eine Zeichenfolge für einen Benutzer akzeptabel erscheinen zu lassen, obwohl sie nicht den Binärcode darstellt, der dem entspricht, was der Benutzer sieht.

Windows-, MacOS- und Linux-Sicherheitsexperten haben sich mit dem Problem befasst. In Perl gibt es jetzt ein neues Konstrukt für reguläre Ausdrücke, mit dem Skriptautoren gemischte Unicode-Zeichenfolgen leicht erkennen können, bevor sie an eine andere Unterroutine in einem Skript übergeben werden.

Sie können auch verschiedene Unicode-Typen mit neuen Aufrufen miteinander kombinieren. Diese werden als experimentell betrachtet, daher wird vorerst eine experimentelle :: script_run-Warnung ausgegeben, die jedoch deaktiviert werden kann.

Das Bearbeiten von Skripten mit perl -i ist jetzt viel sicherer als in der Vergangenheit. Bisher konnten Versuche, dies zu tun, eine Eingabedatei löschen oder umbenennen. Dies wurde geändert, um die Eingabedatei nur zu ersetzen, wenn sie auf die Festplatte geschrieben und dann geschlossen wurde.

Einige andere wichtige Sicherheitslücken wurden ebenfalls in der Version behoben. Bestimmte Heap-Puffer-Überlauffehler und Puffer-Überlesevorgänge sollten nicht als Angreifer-Vektor dienen, da die Entwickler von Perl den Code in diesen Bereichen erheblich verschärft haben.