perl-5.8.8 a CVE-2007-5116

Honza Pazdziora adelton na fi.muni.cz
Čtvrtek Listopad 15 10:06:21 CET 2007 

On Tue, Nov 13, 2007 at 09:16:56PM +0100, Jan Kasprzak wrote:
> : na novou verzi v ramci bezpecnostnich oprav nedela).
> 
> 	Podival jsem se do src.rpm, a podle patche tam uvedeneho
> je i 5.8.8 zranitelny:
> 
> https://bugzilla.redhat.com/show_bug.cgi?id=323571
> https://bugzilla.redhat.com/attachment.cgi?id=255541
> 
> Zajimave ale je ze to .src.rpm odkazuje jeste na jinou chybu:
> 
> * Tue Oct 23 2007 Robin Norwood <rnorwood na redhat.com> - 4:5.8.8-10.el5.2
> - Resolves: bug#323811
> - fix previous patch
> 
> * Wed Oct 10 2007 Robin Norwood <rnorwood na redhat.com> - 4:5.8.8-10.el5.1
> - Resolves: bug#323811
> - fix regular expression UTF parsing errors
> 
> a tato chyba je v Bugzille Red Hatu stale embargovana.

Vec se ma takhle -- ta chyba 323811 je interni chyba Red Hatu pro
konkretni verzi produktu, ktere se ten problem tyka. Existuje jich pod
323571 nekolik, pro ruzne verze, protoze pro ruzne verze muze byt
potreba buildit ruzne baliky s ruznymi orpavami. Tyto chyby jsou
embargovane a zustanou embargovane.

Chyba, ktera je primarnim odkazem na to, co a proc se opravovalo, je
ta chyba odkazovana dole z

	http://rhn.redhat.com/errata/RHSA-2007-0966.html

tedy ta 323571.

> 	Co je na tom horsiho je to, ze na www.perl.org neni zadna
> zminka o bezpecnostnim problemu, a vesele hlasi jako posledni
> stable verzi 5.8.8. Pritom changelog toho RHEL balicku je plny veci jako
> 
> * Fri Jul 14 2006 Jason Vas Dias <jvdias na redhat.com> - 4:5.8.8-8
> - Fix upstream perl bug #34297:
>   'utf8 overload stringify bug (utf8 caching maybe)'
>   upstream patch #28006 applied
> 
> takze zrejme zaplaty na 5.8.8 jsou stale vyvijeny. Jen se na ne bezny
> uzivatel nedostane, a bude pouzivat 5.8.8 jako posledni vykrik techniky
> i bezpecnosti :-(

Perl 5.8.8 je a zustane posledni vykrik, alespon v RHEL produktech.
Ale v ramci drzeni supportu pro tyto produkty jsou pro tuto verzi
vyvijeny a aplikovany opravy. Zvysuje se pak release toho baliku, ale
ne verze.

-- 
--------------------------------------------------------------------------
  Honza Pazdziora | adelton na fi.muni.cz | http://www.fi.muni.cz/~adelton/
 .project: Satellite, Catalyst | Only self-confident people can be simple.

Další informace o konferenci Perl