NAME

perl5223delta - perl v5.22.3 での変更点

DESCRIPTION

この文書は 5.22.2 リリースと 5.22.3 リリースの変更点を記述しています。

5.22.1 のような以前のリリースから更新する場合は、まず 5.22.1 と 5.22.2 の違いについて記述している perl5222delta を読んでください。

セキュリティ

PerlIO デバッグ出力には -Di オプションが必要になりました

以前は、perl が setuid されておらず -T-t オプションがまだ 渡されていない場合は、PerlIO デバッグ出力は PERLIO_DEBUG 環境変数で 指定されたファイルに出力されていました。

これらのオプションがまだパースされていない時点で perl が出力を行うと、 -T オプションが指定されているときでも perl が PERLIO_DEBUG の名前の ファイルを作成したり上書きしたりしていました。

PerlIO デバッグ出力を作成するためには -Di オプションが必要になりました。 デフォルトではこれは stderr に書かれますが、PERLIO_DEBUG 環境変数を 設定することでファイルにリダイレクトすることも出来ます。

perl が setuid されていたり -T オプションが指定されている場合は、 PERLIO_DEBUG は無視され、デバッグ出力は他の -D オプションと同様 stderr に出力されます。

コアモジュールとツールはオプションのモジュールを "." から探さなくなりました

コアで適用されているツールや多くのモジュールは、もはやオプションのモジュールを @INC のデフォルトのカレントディレクトリエントリを 探さなくなりました。 例えば、StorableLog::Agent を読み込もうとする前に @INC の末尾の "." を取り除きます。

これにより、攻撃者によって書き込み可能なディレクトリ (/tmp など) を カレントディレクトリとして実行されているプロセスに、攻撃者がオプションの モジュールを注入するのを防ぎます。

ほとんどの場合、この除去によって問題は起こらないはずですが、指定された全ての モジュール名をオプションとして扱う base では問題があります。 この問題はまだ解決していないので、このリリースでは base は 変更されていません。 私たちは Perl 5.22.4 で base を修正したいと考えています。

自分自身のコードをこの攻撃から守るには、スクリプトの先頭で @INC から デフォルトの "." エントリを取り除く、つまり:

  #!/usr/bin/perl
  use strict;
  ...

これを:

  #!/usr/bin/perl
  BEGIN { pop @INC if $INC[-1] eq '.' }
  use strict;
  ...

のようにするか、モジュールに対しては、ローカル化された @INC から "." を 取り除く、つまり:

  my $can_foo = eval { require Foo; }

これを以下のようにします:

  my $can_foo = eval {
      local @INC = @INC;
      pop @INC if $INC[-1] eq '.';
      require Foo;
  };

互換性のない変更

上述のセキュリティの変更以外に、故意に 5.22.2 から互換性がなくなるようにした 変更はありません。 もし 5.22.2 との互換性がなければ、それはバグですので、報告をお願いします。 以下の "Reporting Bugs" を参照してください。

モジュールとプラグマ

更新されたモジュールとプラグマ

文書

既存の文書の変更

perlapio

perlrun

テスト

バグ修正の抜粋

Acknowledgements

Perl 5.22.3 は、Perl 5.22.2 以降、20 人の作者によって、 240 のファイルに約 4,400 行の変更を加えて、 約 9 ヶ月開発されてきました。

自動生成ファイル、文書、リリースツールを除くと、170 の .pm, .t, .c, .h ファイルに約 2,200 行の変更を加えました。

Perl は、活気のあるユーザーと開発者のコミュニティのおかげで 20 年を超えて 繁栄しています。 以下の人々が、Perl 5.22.3 になるための改良に貢献したことが分かっています:

Aaron Crane, Abigail, Alex Vandiver, Aristotle Pagaltzis, Chad Granum, Chris 'BinGOs' Williams, Craig A. Berry, David Mitchell, Father Chrysostomos, James E Keenan, Jarkko Hietaniemi, Karen Etheridge, Karl Williamson, Matthew Horsfall, Niko Tyni, Ricardo Signes, Sawyer X, Stevan Little, Steve Hay, Tony Cook.

これはバージョンコントロール履歴から自動的に生成しているので、ほぼ確実に 不完全です。 特に、Perl バグトラッカーに問題を報告をしてくれた (とてもありがたい)貢献者の 名前を含んでいません。

このバージョンに含まれている変更の多くは、Perl コアに含まれている CPAN モジュール由来のものです。 私たちは Perl の発展を助けている CPAN コミュニティ全体に感謝します。

全ての Perl の歴史的な貢献者のより完全な一覧については、どうか Perl ソース 配布に含まれている AUTHORS を参照してください。

バグ報告

もしバグと思われるものを見つけたら、comp.lang.perl.misc ニュースグループに 最近投稿された記事や https://rt.perl.org/ にある Perl バグ データベースを確認してください。 Perl ホームページ、http://www.perl.org/ にも情報があります。

もしまだ報告されていないバグだと確信したら、そのリリースに含まれている perlbug プログラムを実行してください。 バグの再現スクリプトを十分小さく、しかし有効なコードに切りつめることを 意識してください。 バグレポートは perl -V の出力と一緒に perlbug@perl.org に送られ Perl porting チームによって解析されます。

もし報告しようとしているバグがセキュリティに関するもので、公開されている メーリングリストに送るのが不適切なものなら、 perl5-security-report@perl.org に送ってください。 このアドレスは、問題の影響を評価し、解決法を見つけ、Perl が対応している 全てのプラットフォームで問題を軽減または解決するパッチをリリースするのを 助けることが出来る、全てのコアコミッタが参加している非公開の メーリングリストになっています。 このアドレスは、独自に CPAN で配布されているモジュールではなく、 Perl コアのセキュリティ問題だけに使ってください。

SEE ALSO

変更点の完全な詳細を見る方法については Changes ファイル。

Perl のビルド方法については INSTALL ファイル。

一般的なことについては README ファイル。

著作権情報については Artistic 及び Copying ファイル。