Perl Sürüm 5.28.0 Geliştiricilere Büyük Güvenlik ve Güvenlik Düzeltmeleri Sağlar

Perl Vakfı

Unix ve Linux dünyasının en popüler betik dillerinden biri olan Perl, şimdi en son resmi paketleri 5.28.0 sürümüne getiren güncellemeleri aldı. Dağıtımların çoğu yeni paketleri test etme fırsatına sahip olmadığından, birçok kullanıcı büyük olasılıkla hala Perl 5.22 veya biraz daha eski bir sürümü kullanıyor. Aynı durum, Apple’ın macOS platformunda çalışan geliştiriciler için de geçerli.

Yazılım yeni bir sürüm aldığında, genellikle değişiklik listeleri ona eşlik eder. Daha az sayıda paket, 700.000'den fazla bireysel değişiklik içeren bir tabloyla birlikte gelir.

Yine de, Perl geliştiricileri, komut dosyası ana makinesinde bu kadar çok güncelleme yaptıklarını bildiriyorlar. En önemli değişikliklerden biri, karışık Unicode betikleri desteğini içerir.

Adres sahteciliği saldırıları, bir komut dosyasında Unicode metninin kullanılması söz konusu olduğunda büyük bir sorundur. Kiril, Latince ve Yunanca metin, bazı kodların meşru bir talep aldığını düşünmesine neden olabilecek gerçekten sıra dışı dizeler oluşturmak için karıştırılabilir. Bazı korsanlar, bir dizenin, kullanıcının gördüklerine karşılık gelen ikili kodu temsil etmese bile, bir kullanıcı tarafından kabul edilebilir görünmesini sağlamak için farklı Unicode karakterlerini bir araya getirmiştir.

Windows, macOS ve Linux güvenlik uzmanları konuya ağırlık verdiler ve artık Perl'de, komut yazarlarının karışık Unicode dizelerini komut dosyasındaki başka bir alt yordama aktarmadan önce kolayca algılamasına olanak tanıyan yeni bir normal ifade yapısı var.

Ayrıca, bazı yeni çağrıları kullanarak farklı Unicode türlerini bir araya getirebilirsiniz. Bunlar deneysel olarak kabul edilir, bu yüzden şimdilik deneysel :: script_run uyarısı verirler, ancak bu devre dışı bırakılabilir.

Perl -i ile komut dosyalarını yerinde düzenlemek artık geçmişte olduğundan çok daha güvenli. Önceden, bunu yapma girişimleri bir girdi dosyasını silebilir veya yeniden adlandırabilirdi. Bu, girdi dosyasını yalnızca diske yazıldıktan sonra kapatıldığında değiştirmek için değiştirildi.

Sürümde diğer bazı önemli güvenlik hataları da düzeltildi. Perl'in geliştiricilerinin bu alanlarda kodu ne kadar sıkılaştırdığından dolayı belirli yığın arabellek taşma hataları ve arabellek aşırı okumaları bir saldırgan vektörü olarak hizmet etmemelidir.