内容

名称

perl5362delta - Perl v5.36.2 的新功能

描述

本文档描述了 5.36.1 版本和 5.36.2 版本之间的差异。

如果您要从 5.36.0 等早期版本升级,请先阅读 perl5361delta,其中描述了 5.36.0 和 5.36.1 之间的差异。

安全

此版本修复了以下安全问题。

CVE-2023-47038 - 通过非法用户定义的 Unicode 属性写入缓冲区末尾

此漏洞由 Nathan Mills [email protected] 直接报告给 Perl 安全团队。

由 perl 5.30.0 到 5.38.0 编译的精心制作的正则表达式会导致在堆分配的缓冲区中发生一个字节的攻击者控制的缓冲区溢出。

CVE-2023-47039 - Perl for Windows 二进制劫持漏洞

此漏洞由 GitHub 用户 ycdxsb 报告给英特尔产品安全事件响应团队 (PSIRT) https://github.com/ycdxsb/WindowsPrivilegeEscalation。PSIRT 随后将其报告给 Perl 安全团队。

Windows 上的 Perl 依赖于系统路径环境变量来查找 shell (cmd.exe)。当运行使用 Windows Perl 解释器的可执行文件时,Perl 会尝试在操作系统中查找并执行 cmd.exe。然而,由于路径搜索顺序问题,Perl 最初会在当前工作目录中查找 cmd.exe。

具有有限权限的攻击者可以通过将 cmd.exe 放置在权限较弱的位置(例如 C:\ProgramData)来利用此行为。这样做时,当管理员尝试从这些受损位置使用此可执行文件时,可能会执行任意代码。

致谢

Perl 5.36.2 代表了自 Perl 5.36.1 发布以来的大约 7 个月的开发,包含了来自 4 位作者的 38 个文件中的大约 2,300 行更改。

不包括自动生成的 文件、文档和发布工具,对 8 个 .pm、.t、.c 和 .h 文件进行了大约 1,400 行更改。

得益于充满活力的用户和开发者社区,Perl 继续在它的第四个十年蓬勃发展。以下人员已知为 Perl 5.36.2 的改进做出了贡献

Karl Williamson、Paul Evans、Steve Hay、Tony Cook。

上面的列表几乎肯定是不完整的,因为它是由版本控制历史自动生成的。特别是,它不包括向 Perl 错误跟踪器报告问题的贡献者(非常感谢)的姓名。

此版本中包含的许多更改源于 Perl 核心包含的 CPAN 模块。我们感谢整个 CPAN 社区帮助 Perl 蓬勃发展。

有关 Perl 所有历史贡献者的更完整列表,请参阅 Perl 源代码分发中的 AUTHORS 文件。

报告错误

如果您发现您认为是错误的内容,您可以查看 https://github.com/Perl/perl5/issues 上的 perl 错误数据库。您也可以在 https://www.perl5.cn/(Perl 主页)上找到信息。

如果您认为您遇到了未报告的错误,请在 https://github.com/Perl/perl5/issues 上打开一个问题。请务必将您的错误缩减为一个微小但足够的测试用例。

如果您要报告的错误存在安全隐患,不适合发送到公共问题跟踪器,请参阅 "perlsec 中的 SECURITY VULNERABILITY CONTACT INFORMATION",了解如何报告该问题。

致谢

如果您想感谢 Perl 5 维护者为 Perl 5 所做的工作,您可以运行 perlthanks 程序。

perlthanks

这将向 Perl 5 维护者列表发送一封电子邮件,表达您的感谢。

另请参阅

Changes 文件,解释如何查看有关更改的详尽信息。

INSTALL 文件,介绍如何构建 Perl。

README 文件,介绍一般信息。

ArtisticCopying 文件,介绍版权信息。