パスワードを忘れた? アカウント作成
8008688 story
バグ

Perl 5.8.2~5.16.xのハッシュ値再計算メカニズムに脆弱性 15

ストーリー by hylom
こんなところに 部門より
あるAnonymous Coward 曰く、

Perl 5.8.2~5.16.2のハッシュ値再計算メカニズムに脆弱性が発見された。これを悪用されると、メモリの異常消費やクラッシュなどによるサービス拒否(DoS)状態になる可能性があるという(JVNNVD)。

すでに対策パッチが公開されており、DebianFedoraではそれを適用したパッケージが公開されている。

(追記@14:12)コメント#2349573でのご指摘のとおり、Perl 5.16.3では修正済みとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
    • by Anonymous Coward

      ということは、タイトルを「Perl 5.8.2~5.16.[0-2]のハッシュ値再計算メカニズムに脆弱性」と変更すべき?

      • by Anonymous Coward on 2013年03月25日 14時54分 (#2349606)

        Perl 5.14.4 でも修正済みとか含めて、全部書くわけにいかないなら、ニュースソースの表記に合わせておけばいいかと。
        http://blog.perlassociation.org/2013/03/perl.html [perlassociation.org]

        親コメント
      • by Anonymous Coward

        タレコミ本文の冒頭の一文を良く読んで下さい.

        初めから「Perl 5.8.2~5.16.2 のハッシュ値再計算メカニズムに脆弱性が発見された」と的確に書いて有りますよ.

        • by Anonymous Coward

          そうか、タイトルと本文の不一致が問題だったのか。

    • by Anonymous Coward

      ここにぶら下げるのが適当かはわかりませんが、
      4か月で7人しか貢献していないとは、意外ですね。
      この人数は、コミットを行ったコミッタの人数であり、
      コミット権限がなく、修正バッチをコミッタに送って、
      コミットしてもらった人はもっといるのでしょうね。

      # もっと細かい changelog なり、コミットログ見ればわかるのでしょうが
      # この辺は、エロい人お願い。

      • by Anonymous Coward on 2013年03月26日 10時22分 (#2350236)

        5.16.3はすでに過去のリリースなので、メンテナンスのためのコミットしかされません。
        ほとんどのコミットは5.18 (にその後なるものなので、現在は5.17.x)のほうに行ってます。

        git logを見れば一発ですけど、 Jan 1 2013から(注:マージも含まれてるので期間的には多少の誤差はあります)694コミット、65人のコミッターががいます。

        親コメント
      • by Anonymous Coward

        Perlはオワコンということだ。活発なコミットログが見たければPythonのリポジトリにでも行けば。

        • by Anonymous Coward

          Pythonだって2.x系はもうそんなに活動してないのでは。

  • by s02222 (20350) on 2013年03月25日 14時27分 (#2349589)
    この辺 [tokumaru.org]に解説される奴ですよね? 様々な処理系がアップデート対象になった [atmarkit.co.jp]という。 新たに、修正しそこねが発見された、とかでしょうか?
    • by Anonymous Coward

      その問題とは違います。Perl5はその記事で指摘されている方法で問題は起こりません。
      今回Perl5開発グループがperl 5.18以降でハッシュ機能をプラッガブルにする作業の過程で見つけたもののようです。
      perl-5.8.2の頃からというと2003年ですから、大分長い事誰にも発見されずに存在していたようですね。full-disclosureがまだされていませんので詳細はわかりませんが、かなり特殊なデータを使わないといけないのかもしれません

      なおperl-5.14.4, 5.16.3では修正済みで、EOLな5.12以前でもパッチが提供されています
      http://blog.perlassociation.org/2013/03/perl.html [perlassociation.org]

  • by Anonymous Coward on 2013年03月26日 6時45分 (#2350141)

    Vinelinuxつかってますがメールとインターネットくらいしかしません。
    updateしないといけませんでしょうか。

    • by Anonymous Coward

      この人みたいにgrepかけてみればいいと思います。
      http://blog.azumakuniyuki.org/2013/03/the-reason-i-use-perl.html [azumakuniyuki.org]

      同じ事をUbuntuでもやってみたら、dpkg-*がPerl製で、BSDと同じくadduser,deluserもPerl製でした。ApacheでおなじみapxsもPerl製ですね。

      とはいえプリインストールは5.8系とかが多い(のでレンサバを使う弊社ではPHPに逃げちゃう)ので、これを機にせめて5.14系に上げてくれると有難いんですけどねぇ。

      • by Anonymous Coward

        ありがとうございます。grepかけましたところ、なにも表示されないのでひとまず安心です。

        • by Anonymous Coward

          ちなみにperl 5.12.3-5v16でした。updateあったらあげますね。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...