perl-5.8.8 a CVE-2007-5116

Jan Kasprzak kas na fi.muni.cz
Úterý Listopad 13 21:16:56 CET 2007 

Jan Kasprzak wrote:
: 	Nevite nekdo jestli je perl 5.8.8 postizeny chybou CVE-2007-5116 ?
: Podle http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5116 sekce 
: "Vulnerable software and versions" patri mezi zranitelne 5.8.0 az 5.8.6,
: ale taky je odtam odkazovana advisory Red Hatu RHSA-2007-1011:
: http://rhn.redhat.com/errata/RHSA-2007-1011.html
: a tam nabizeji baliky 5.8.8 (nijak z toho neplyne ze predchozi verze
: byla taky 5.8.8, ale Red Hat u tech enterprise verzi obvykle upgrady
: na novou verzi v ramci bezpecnostnich oprav nedela).

	Podival jsem se do src.rpm, a podle patche tam uvedeneho
je i 5.8.8 zranitelny:

https://bugzilla.redhat.com/show_bug.cgi?id=323571
https://bugzilla.redhat.com/attachment.cgi?id=255541

Zajimave ale je ze to .src.rpm odkazuje jeste na jinou chybu:

* Tue Oct 23 2007 Robin Norwood <rnorwood na redhat.com> - 4:5.8.8-10.el5.2
- Resolves: bug#323811
- fix previous patch

* Wed Oct 10 2007 Robin Norwood <rnorwood na redhat.com> - 4:5.8.8-10.el5.1
- Resolves: bug#323811
- fix regular expression UTF parsing errors

a tato chyba je v Bugzille Red Hatu stale embargovana.

	Co je na tom horsiho je to, ze na www.perl.org neni zadna
zminka o bezpecnostnim problemu, a vesele hlasi jako posledni
stable verzi 5.8.8. Pritom changelog toho RHEL balicku je plny veci jako

* Fri Jul 14 2006 Jason Vas Dias <jvdias na redhat.com> - 4:5.8.8-8
- Fix upstream perl bug #34297:
  'utf8 overload stringify bug (utf8 caching maybe)'
  upstream patch #28006 applied

takze zrejme zaplaty na 5.8.8 jsou stale vyvijeny. Jen se na ne bezny
uzivatel nedostane, a bude pouzivat 5.8.8 jako posledni vykrik techniky
i bezpecnosti :-(

	Nebo spatne hledam?

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
>> Rule #1 in kernel programming: don't *ever* think that things actually <<
>> work the way they are documented to work.             --Linus Torvalds <<

Další informace o konferenci Perl