Am 29.11 aktualisierten die Perl Porter beide derzeit gepflegten Versionsfolgen. Die Releases 5.28.1 und 5.26.3 beheben zwei beziehungsweise fünf Sicherheitslücken, die als CVE-2018-18311 bis CVE-2018-18315 nummeriert sind.

Besonders attraktiv für Angriffe ist dabei die in beiden Versionen behobene Lücke CVE-2018-18312. Sie erlaubt Angreifern, die Kontrolle über einen regulären Ausdruck besitzen, ihn derart anzupassen, dass sie sogar die Position bestimmen können, an der sie hinter dem reservierten Speicherbereich schreiben können. Das andere Problem beider Versionen tritt auf, wenn Umgebungsvariablen mit mehr als 2 GByte Inhalt beschrieben werden, was zu einem Integer-Überlauf führt. Lediglich 5.26.3 betrifft, dass Archive::Tar es einer gepackten Datei gestattet, mittels symbolische Verknüpfung auch außerhalb des Verzeichnisses, in dem es liegt, Dateien abzulegen.

Pakete stehen für die großen Linux-Distributionen und Strawberry Perl bereit. Aufgrund der vorsichtigen Veröffentlichungspolitik hat Active State 5.28.1 noch nicht beachtet und wird 5.26.3 später bereitstellen. (Herbert Breunung) / (rme)