Perl 5.8.2~5.16.xのハッシュ値再計算メカニズムに脆弱性 15
ストーリー by hylom
こんなところに 部門より
こんなところに 部門より
あるAnonymous Coward 曰く、
すでに対策パッチが公開されており、DebianやFedoraではそれを適用したパッケージが公開されている。
(追記@14:12)コメント#2349573でのご指摘のとおり、Perl 5.16.3では修正済みとのこと。
すでに対策パッチが公開されており、DebianやFedoraではそれを適用したパッケージが公開されている。
(追記@14:12)コメント#2349573でのご指摘のとおり、Perl 5.16.3では修正済みとのこと。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
Perl 5.16.3 では修正済み (スコア:3)
Perl 5.16.3 では修正済みです。 http://perldoc.jp/docs/perl/5.16.3/perl5163delta.pod#CVE-2013-1667:32m... [perldoc.jp]
Re: (スコア:0)
ということは、タイトルを「Perl 5.8.2~5.16.[0-2]のハッシュ値再計算メカニズムに脆弱性」と変更すべき?
Perl 5.14.4 でも修正済み (スコア:1)
Perl 5.14.4 でも修正済みとか含めて、全部書くわけにいかないなら、ニュースソースの表記に合わせておけばいいかと。
http://blog.perlassociation.org/2013/03/perl.html [perlassociation.org]
Re: (スコア:0)
タレコミ本文の冒頭の一文を良く読んで下さい.
初めから「Perl 5.8.2~5.16.2 のハッシュ値再計算メカニズムに脆弱性が発見された」と的確に書いて有りますよ.
Re: (スコア:0)
そうか、タイトルと本文の不一致が問題だったのか。
Re: (スコア:0)
ここにぶら下げるのが適当かはわかりませんが、
4か月で7人しか貢献していないとは、意外ですね。
この人数は、コミットを行ったコミッタの人数であり、
コミット権限がなく、修正バッチをコミッタに送って、
コミットしてもらった人はもっといるのでしょうね。
# もっと細かい changelog なり、コミットログ見ればわかるのでしょうが
# この辺は、エロい人お願い。
Re:Perl 5.16.3 では修正済み (スコア:1)
5.16.3はすでに過去のリリースなので、メンテナンスのためのコミットしかされません。
ほとんどのコミットは5.18 (にその後なるものなので、現在は5.17.x)のほうに行ってます。
git logを見れば一発ですけど、 Jan 1 2013から(注:マージも含まれてるので期間的には多少の誤差はあります)694コミット、65人のコミッターががいます。
Re: (スコア:0)
Perlはオワコンということだ。活発なコミットログが見たければPythonのリポジトリにでも行けば。
Re: (スコア:0)
Pythonだって2.x系はもうそんなに活動してないのでは。
発見? (スコア:1)
Re: (スコア:0)
その問題とは違います。Perl5はその記事で指摘されている方法で問題は起こりません。
今回Perl5開発グループがperl 5.18以降でハッシュ機能をプラッガブルにする作業の過程で見つけたもののようです。
perl-5.8.2の頃からというと2003年ですから、大分長い事誰にも発見されずに存在していたようですね。full-disclosureがまだされていませんので詳細はわかりませんが、かなり特殊なデータを使わないといけないのかもしれません
なおperl-5.14.4, 5.16.3では修正済みで、EOLな5.12以前でもパッチが提供されています
http://blog.perlassociation.org/2013/03/perl.html [perlassociation.org]
Perlってどの処理に関係あります。 (スコア:0)
Vinelinuxつかってますがメールとインターネットくらいしかしません。
updateしないといけませんでしょうか。
Re: (スコア:0)
この人みたいにgrepかけてみればいいと思います。
http://blog.azumakuniyuki.org/2013/03/the-reason-i-use-perl.html [azumakuniyuki.org]
同じ事をUbuntuでもやってみたら、dpkg-*がPerl製で、BSDと同じくadduser,deluserもPerl製でした。ApacheでおなじみapxsもPerl製ですね。
とはいえプリインストールは5.8系とかが多い(のでレンサバを使う弊社ではPHPに逃げちゃう)ので、これを機にせめて5.14系に上げてくれると有難いんですけどねぇ。
Re: (スコア:0)
ありがとうございます。grepかけましたところ、なにも表示されないのでひとまず安心です。
Re: (スコア:0)
ちなみにperl 5.12.3-5v16でした。updateあったらあげますね。