perl5343delta - Perl v5.34.3 新功能
本文件描述了 5.34.1 版本與 5.34.3 版本之間的差異。 請注意: 本文件忽略了 Perl 5.34.2,這是一個僅存在幾天的破損版本。
如果您從較早的版本升級,例如 5.34.0,請先閱讀 perl5341delta,該文件描述了 5.34.0 與 5.34.1 之間的差異。
此版本修復了以下安全性問題。
此漏洞由Nathan Mills the.true.nathan.mills@gmail.com 直接向Perl安全團隊報告。
當由perl 5.30.0至5.38.0編譯時,一個特定的正則表達式可以導致堆分配緩衝區中的一字節受到攻擊者控制的溢出。
此漏洞由GitHub用戶ycdxsb https://github.com/ycdxsb/WindowsPrivilegeEscalation 向英特爾產品安全事件響應團隊(PSIRT)報告。PSIRT隨後將其報告給Perl安全團隊。
Perl for Windows依賴系統路徑環境變量來尋找shell (cmd.exe)。在運行使用Windows Perl解釋器的可執行文件時,Perl嘗試尋找並執行操作系統中的cmd.exe。然而,由於路徑搜索順序的問題,Perl最初會在當前工作目錄中尋找cmd.exe。
有限權限的攻擊者可以利用這種行為,將cmd.exe放置在權限較弱的位置,例如C:\ProgramData。這樣一來,當管理員嘗試從這些受到威脅的位置使用此可執行文件時,可以執行任意代碼。
Perl 5.34.3代表自Perl 5.34.1以來大約一個月的開發,包含來自4位作者的40個文件中約3700行的更改。
除了自動生成的文件、文檔和發布工具外,對9個.pm、.t、.c和.h文件進行了約2800行的更改。
Perl在進入第四個十年時繼續蓬勃發展,這要歸功於一個充滿活力的用戶和開發者社區。以下人員被知道是貢獻了成為Perl 5.34.3的改進。
Karl Williamson、Paul Evans、Steve Hay、Tony Cook。
上述列表幾乎肯定是不完整的,因為它是從版本控制歷史自動生成的。特別是,它不包括向Perl bug跟踪器報告問題的(非常感謝的)貢獻者的名字。
這個版本中包含的許多更改來源於Perl核心中包含的CPAN模塊。我們感謝整個CPAN社區幫助Perl蓬勃發展。
有關Perl所有歷史貢獻者的更完整列表,請參閱Perl源代碼分發中的AUTHORS文件。
如果您發現了您認為是一個錯誤,您可以檢查 Perl 的 bug 資料庫:https://github.com/Perl/perl5/issues。您也可以在 Perl 官方網站:http://www.perl.org/ 上找到相關資訊。
如果您相信您發現了一個尚未報告的錯誤,請在 https://github.com/Perl/perl5/issues 開啟一個 issue。請務必將您的錯誤測試案例簡化至足夠小但足夠充分。
如果您報告的錯誤具有安全影響,使其不適合發送到公共問題跟蹤器,請參閱 perlsec 中的 "SECURITY VULNERABILITY CONTACT INFORMATION" 以了解如何報告問題的詳細信息。
如果您想要感謝 Perl 5 Porters 在 Perl 5 中所做的工作,您可以運行 perlthanks 程式。
perlthanks這將會向 Perl 5 Porters 清單發送一封感謝郵件。
查看 Changes 文件以獲取詳細的變更信息說明。
查看 INSTALL 文件以獲取 Perl 的構建方式。
查看 README 文件以獲取一般信息。
查看 Artistic 和 Copying 文件以獲取版權信息。