Encode decode_xs n-バイトヒープオーバーフロー (CVE-2011-2939)File::Glob::bsd_glob() が GLOB_ALTDIRFUNC でメモリエラー (CVE-2011-2728)
perl5125delta - perl v5.12.5 での変更点
この文書は 5.12.4 リリースと 5.12.5 リリースの変更点を記述しています。
5.12.3 のような以前のリリースから更新する場合は、まず 5.12.3 と 5.12.4 の違いについて記述している perl5124delta を読んでください。
Encode decode_xs n-バイトヒープオーバーフロー (CVE-2011-2939)Encode のバグによって、入力によっては、ヒープのオーバーフローを
引き起こすことがありました。
この問題は修正されました。
バグは Robert Zacek によって報告されました。
File::Glob::bsd_glob() が GLOB_ALTDIRFUNC でメモリエラー (CVE-2011-2728)未対応フラグ GLOB_ALTDIRFUNC 付きで File::Glob::bsd_glob を呼び出すと
アクセス違反/セグメンテーションフォルトを引き起こすことがありました。
外部ソースからフラグの値を受け付ける Perl プログラムはサービス不能攻撃や
任意コード実行攻撃に晒されるかもしれません。
今のところ知られている攻撃はありません。
この問題は、未対応フラグを明示的に無効にして、未使用関数のポインタを
null にすることで修正されました。
バグは Clément Lecigne によって報告されました。
攻撃者が perl の 'x' 文字列繰り返し演算子のカウントを指定できるような まずい perl コードは、既にメモリ枯渇サービス拒否攻撃を引き起こす 可能性があります。 5.15.5 以前のバージョンの perl の欠陥は、これをヒープバッファオーバーランに エスカレートさせることです; 2.16 以前バージョンのの glib との組み合わせで、 任意のコードの実行を許す可能性があります。
この問題は修正されました。
故意に、5.12.4 から互換性がなくなるようにした変更はありません。 もし 5.12.4 との互換性がなければ、それはバグですので、 どうか報告してください。
B::Concise は -tree オプションで壊れた出力を出さなくなりました [perl #80632]。
Perl 5.8.8 で導入された、charnames::viacode(0) が文字列 "NULL" ではなく
undef を返すという退行が修正されました [perl #72624]。
セキュリティ を参照してください。
セキュリティ を参照してください。
upper 関数の文書で "lower" となっていた部分が正しく "upper" になりました。
Module::CoreList はこのリリースのデータを追加するためにバージョン 2.50_02 に更新されました。
perlebcdic 文書には EBCDIC と Latin1/ASCII を変換するために tr/// を
使うのに便利な表があります。
残念ながら、表は記述されているのと逆になっていました。
これは修正されました。
User-Defined Case Mappings の章には 間違ったマークアップや明確でない文があり、一部が読めなくなっていました。 これは調整されました。
この文書は、非-ASCII プラットフォームも考慮に入れるように修正されました。
Lion および Mountain Lion で Perl をクリーンにビルドできるように設定と テストが修正されました。
NetBSD ヒントファイルは NetBSD 6.* と互換性があるように修正されました。
chop は "\x{7fffffff}" 以上の文字を正しく扱えるようになりました
[perl #73246]。
($<,$>) = (...) は 5.12.0 で正しく動作しなくなっていました。
単一の setreuid() 呼び出しをすることになっていますが、setruid() と
seteuid() を別々に呼び出していました。
結果として正しく動作していませんでした。
これは修正されました [perl #75212]。
マッチングした変数が kill するプロセス ID に使われたときの kill() の
退行が修正されました [perl #75812]。
UNIVERSAL::VERSION はメモリリークしなくなりました。
Perl 5.10.0 からリークし始めていました。
C レベルの my_strftime はもはやメモリリークしなくなりました。
これは POSIX::strftime のメモリリークを修正します [perl #73520]。
@DB::args が最初の caller 呼び出しの後に値が代入されているときに、
caller を DB パッケージから呼び出してもメモリリークしなくなりました。
Carp がこのバグの引き金を引いていました [perl #97010]。
文字列が内部的に UTF8 でエンコーディングされているときに
index に文字列の末尾を超えたオフセットを渡してももはや panic を
引き起こさなくなりました [perl #75898]。
正規表現の (?{...}) ブロック内の文法エラーでももはやパニック
メッセージを引き起こさなくなりました [perl #2353]。
Perl 5.10.0 で間違ったロジックが導入され、入力文字列が空のとき、 pack テンプレートの中間にある "U*" が "U0" と等価になっていました。 これは修正されました [perl #90160]。
split() と @_split() はスカラコンテキストや無効コンテキストで呼び出されたときに
@_ を変更されなくなりました。
無効コンテキストでは "Useless use of split" 警告が出ます。
これは実際には perl 5.12.0 で導入された変更ですが、このリリースの
perl5120delta から漏れていました。
Perl 5.12.5 は、Perl 5.12.4 以降、18 人の作者によって、 64 のファイルに約 1,900 行の変更を加えて、 約 17 ヶ月開発されてきました。
Perl は、活気のあるユーザーと開発者のコミュニティのおかげで 20 年を超えて 繁栄しています。 以下の人々が、Perl 5.12.5 になるための改良に貢献したことが分かっています:
Andy Dougherty, Chris 'BinGOs' Williams, Craig A. Berry, David Mitchell, Dominic Hargreaves, Father Chrysostomos, Florian Ragwitz, George Greer, Goro Fuji, Jesse Vincent, Karl Williamson, Leon Brocard, Nicholas Clark, Rafael Garcia-Suarez, Reini Urban, Ricardo Signes, Steve Hay, Tony Cook.
これはバージョンコントロール履歴から自動的に生成しているので、ほぼ確実に 不完全です。 特に、Perl バグトラッカーに問題を報告をしてくれた (とてもありがたい)貢献者の 名前を含んでいません。
このバージョンに含まれている変更の多くは、Perl コアに含まれている CPAN モジュール由来のものです。 私たちは Perl が繁栄するのを助けている CPAN コミュニティ全体に感謝します。
全ての Perl の歴史的な貢献者のより完全な一覧については、どうか Perl ソース 配布に含まれている AUTHORS を参照してください。
もしバグと思われるものを見つけたら、comp.lang.perl.misc ニュースグループに 最近投稿された記事や http://rt.perl.org/perlbug/ にある perl バグ データベースを確認してください。 Perl ホームページ、http://www.perl.org/ にも情報があります。
もしまだ報告されていないバグだと確信したら、そのリリースに含まれている
perlbug プログラムを実行してください。
バグの再現スクリプトを十分小さく、しかし有効なコードに切りつめることを
意識してください。
バグレポートは perl -V の出力と一緒に perlbug@perl.org に送られ
Perl porting チームによって解析されます。
もし報告しようとしているバグがセキュリティに関するもので、公開されている メーリングリストに送るのが不適切なものなら、 perl5-security-report@perl.org に送ってください。 このアドレスは、問題の影響を評価し、解決法を見つけ、Perl が対応している 全てのプラットフォームで問題を軽減または解決するパッチをリリースするのを 助けることが出来る、全てのコアコミッタが参加している非公開の メーリングリストになっています。 このアドレスは、独自に CPAN で配布されているモジュールではなく、 Perl コアのセキュリティ問題だけに使ってください。
変更点の完全な詳細を見る方法については Changes ファイル。
Perl のビルド方法については INSTALL ファイル。
一般的なことについては README ファイル。
著作権情報については Artistic 及び Copying ファイル。