#名稱

perl5263delta - perl v5.26.3 的新功能

#說明

此文件說明 5.26.2 版本和 5.26.3 版本之間的差異。

如果您要從較早的版本（例如 5.26.1）升級，請先閱讀 perl5262delta，它描述了 5.26.1 和 5.26.2 之間的差異。

#安全性

#[CVE-2018-12015] Archive::Tar 模組中的目錄遍歷

預設情況下，Archive::Tar 不允許提取當前工作目錄之外的檔案。但是，可以透過將符號連結和同名的常規檔案放入 tar 檔案中來繞過此安全提取模式。

[GH #16580] [cpan #125523]

#[CVE-2018-18311] 導致緩衝區溢位和分段錯誤的整數溢位

Perl_my_setenv() 中的整數運算可能會在環境變數名稱和值的總長度超過約 0x7fffffff 時換行。這可能會導致使用攻擊者提供的資料寫入已分配緩衝區的結尾之後。

[GH #16560]

#[CVE-2018-18312] S_regatom (regcomp.c) 中的堆緩衝區溢位寫入

精心製作的正規表示式可能會在編譯期間導致堆緩衝區溢位寫入，可能允許執行任意程式碼。

[GH #16649]

#[CVE-2018-18313] S_grok_bslash_N (regcomp.c) 中的堆緩衝區溢位讀取

精心製作的正規表示式可能會在編譯期間導致堆緩衝區溢位讀取，可能導致洩露敏感資訊。

[GH #16554]

#[CVE-2018-18314] S_regatom (regcomp.c) 中的堆緩衝區溢位寫入

精心製作的正規表示式可能會在編譯期間導致堆緩衝區溢位寫入，可能允許執行任意程式碼。

[GH #16041]

#不相容的變更

沒有任何變更故意與 5.26.2 不相容。如果存在任何變更，它們就是錯誤，我們要求您提交報告。請參閱下方的 "報告錯誤"。

#模組和實用程式

#已更新的模組和實用程式

Archive::Tar 已從版本 2.24 升級至 2.24_01。
Module::CoreList 已從版本 5.20180414_26 升級至 5.20181129_26。

#診斷

已對診斷輸出（包括警告和致命錯誤訊息）進行下列新增或變更。如需診斷訊息的完整清單，請參閱 perldiag。

#新增診斷

#新增錯誤

在 (?[... 中出現意外的 ']'，後面沒有接 ')'，在正規表示式中，標示為 <-- HERE in m/%s/

(F) 在分析延伸字元類別時，在定義中遇到 ']' 字元，而 ']' 在此處唯一的合法用途是作為 '])' 的一部分來關閉字元類別定義，您可能忘記關閉括號，或以其他方式混淆剖析器。
在正規表示式中，預期為巢狀延伸字元類別關閉括號；標示為 <-- HERE in m/%s/

(F) 在分析巢狀延伸字元類別（例如
```
(?[ ... (?flags:(?[ ... ])) ... ])
                         ^
```
時，我們預期看到一個關閉括號 ')'（標示為 ^），但沒有看到。
在正規表示式中，預期為巢狀延伸字元類別的包裝器關閉括號；標示為 <-- HERE in m/%s/

(F) 在分析巢狀延伸字元類別（例如
```
(?[ ... (?flags:(?[ ... ])) ... ])
                          ^
```
時，我們預期看到一個關閉括號 ')'（標示為 ^），但沒有看到。

#變更現有診斷

在 (?[...]) 中的正規表示式語法錯誤；標示為 <-- HERE in m/%s/

此致命錯誤訊息已略微擴充（從「在正規表示式 m/%s/ 中的 (?[...]) 中出現語法錯誤」），以增加清晰度。

#致謝

Perl 5.26.3 自 Perl 5.26.2 以來約歷經 8 個月的開發，包含來自 15 位作者的 51 個檔案中約 4,500 行變更。

排除自動產生的檔案、文件和發行工具，約有 770 行變更至 10 個 .pm、.t、.c 和 .h 檔案。

Perl 在其第三個十年持續蓬勃發展，這要歸功於一個充滿活力的使用者和開發人員社群。已知下列人員貢獻了改善，這些改善成為 Perl 5.26.3

Aaron Crane、Abigail、Chris 'BinGOs' Williams、Dagfinn Ilmari Mannsåker、David Mitchell、H.Merijn Brand、James E Keenan、John SJ Anderson、Karen Etheridge、Karl Williamson、Sawyer X、Steve Hay、Todd Rinaldo、Tony Cook、Yves Orton。

上述清單幾乎肯定不完整，因為它是從版本控制記錄自動產生的。特別是，它不包含向 Perl 錯誤追蹤器回報問題的（非常感謝的）貢獻者的姓名。

此版本包含的許多變更起源於 Perl 核心包含的 CPAN 模組。我們感謝整個 CPAN 社群協助 Perl 蓬勃發展。

如需更完整的 Perl 所有歷史貢獻者清單，請參閱 Perl 原始碼發行中的 AUTHORS 檔案。

#回報錯誤

如果您發現您認為是錯誤的問題，您可以在 https://rt.perl.org/ 檢查 perl 錯誤資料庫。Perl 首頁 http://www.perl.org/ 中也可能有相關資訊。

如果您相信您發現一個未回報的錯誤，請執行發行版附帶的 perlbug 程式。務必將您的錯誤精簡成一個微小但足夠的測試案例。您的錯誤回報，連同 perl -V 的輸出，將會傳送至 perlbug@perl.org，供 Perl 移植團隊分析。

如果您回報的錯誤具有安全性影響，不適合傳送至公開封存的郵件清單，請參閱 perlsec 中的「安全性漏洞連絡資訊」，以取得如何回報問題的詳細資訊。

#表達感謝

如果您希望感謝 Perl 5 Porters 我們在 Perl 5 中所做的工作，您可以執行 perlthanks 程式

perlthanks

這將會傳送一封電子郵件至 Perl 5 Porters 清單，表達您的感謝。

#另請參閱

Changes 檔案，說明如何檢視已變更內容的詳細資訊。

INSTALL 檔案，說明如何建置 Perl。

README 檔案，說明一般事項。

Artistic 和 Copying 檔案，說明著作權資訊。