Fundación Perl
Perl, que es uno de los lenguajes de scripting más populares en el mundo de Unix y Linux, ahora ha recibido actualizaciones que traen los últimos paquetes oficiales hasta la versión 5.28.0. Es más que probable que muchos usuarios sigan ejecutando Perl 5.22 u otra versión un poco más antigua porque la mayoría de las distribuciones no han tenido la oportunidad de probar los nuevos paquetes. Es más probable que ocurra lo mismo con los desarrolladores que trabajan en la plataforma macOS de Apple.
Cuando el software recibe una nueva versión, generalmente lo acompañan listas de cambios. Menos paquetes vienen con una tabla que presenta más de 700,000 modificaciones individuales.
No obstante, los desarrolladores de Perl informan que en realidad han realizado tantas actualizaciones en el host de secuencias de comandos. Uno de los cambios más importantes implica la compatibilidad con scripts Unicode mixtos.
Los ataques de suplantación de identidad son un problema importante cuando se trata del uso de texto Unicode en un script. El texto cirílico, latino y griego se puede mezclar para crear algunas cadenas realmente inusuales que pueden hacer que el código piense que recibió una solicitud legítima. Algunos crackers también han mezclado diferentes caracteres Unicode de combinación para hacer que una cadena parezca aceptable para un usuario, aunque en realidad no represente el código binario que correspondería a lo que el usuario está viendo.
Los expertos en seguridad de Windows, macOS y Linux intervinieron en el tema y ahora hay una nueva construcción de expresión regular en Perl que permite a los guionistas detectar fácilmente cadenas Unicode mixtas antes de pasarlas a cualquier otra subrutina en un script.
También puede combinar diferentes tipos de Unicode usando algunas llamadas nuevas. Estos se consideran experimentales, por lo que lanzarán una advertencia experimental :: script_run por el momento, pero esto se puede inhabilitar.
Editar scripts en su lugar con perl -i ahora es mucho más seguro que en el pasado. Anteriormente, los intentos de hacer esto podían eliminar o cambiar el nombre de un archivo de entrada. Esto se ha cambiado para reemplazar el archivo de entrada solo cuando se ha escrito en el disco y luego se ha cerrado.
También se corrigieron varios otros errores de seguridad importantes en la versión. Ciertos errores de desbordamiento del búfer de pila y sobre-lecturas del búfer no deberían servir como un vector de atacante debido a cuánto los desarrolladores de Perl ajustaron el código en estas áreas.
Etiquetas Seguridad de Linux
