perl-5.8.8 a CVE-2007-5116

[Jan Kasprzak]

Honza Pazdziora wrote:
: On Tue, Nov 13, 2007 at 09:16:56PM +0100, Jan Kasprzak wrote:
: > 	Co je na tom horsiho je to, ze na www.perl.org neni zadna
: > zminka o bezpecnostnim problemu, a vesele hlasi jako posledni
: > stable verzi 5.8.8. Pritom changelog toho RHEL balicku je plny veci jako
: > 
: > * Fri Jul 14 2006 Jason Vas Dias <jvdias na redhat.com> - 4:5.8.8-8
: > - Fix upstream perl bug #34297:
: >   'utf8 overload stringify bug (utf8 caching maybe)'
: >   upstream patch #28006 applied
: > 
: > takze zrejme zaplaty na 5.8.8 jsou stale vyvijeny. Jen se na ne bezny
: > uzivatel nedostane, a bude pouzivat 5.8.8 jako posledni vykrik techniky
: > i bezpecnosti :-(
: 
: Perl 5.8.8 je a zustane posledni vykrik, alespon v RHEL produktech.

	Jo, o tom neni sporu. Red Hat at si vydava co uzna za vhodne,
nic proti tomu nemam.

	Ja naopak spatruju fakt velky problem v tom, ze na _www.perl.org_
se furt 5.8.8 tvari jako latest-greatest, a neni tam ani zminka o chybe,
ani o patchi. A zrejme toto neni prvni pripad, soude podle changelogu
RHEL baliku, ktery obsahuje podle vseho jeste vic bezpecnostnich oprav.

	A dale - RHEL nektere ty opravy oznacuje jako "upstream patch",
cili ze zrejme pochazeji primo od vyvojaru Perlu. Tak kdyz vyvojari
Perlu opravi nejakou bezpecnostni chybu, proc o tom nenapisou na perl.org?

	Ted kdyz prijde novy uzivatel s pocitem "vezmu si posledni
stable verzi od zdroje, coz bude bezpecne", tak se o teto chybe nedozvi.
Je teda Perl neudrzovany projekt?

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
>> Rule #1 in kernel programming: don't *ever* think that things actually <<
>> work the way they are documented to work.             --Linus Torvalds <<