Webminやuserminの脆弱性なんだけど、Perl5.9.2/5.8.6の危険性について。
一度、ITmediaの記事について、Perlの脆弱性と報じられているけれど、Webminの脆弱性じゃないか?と書きました。よく考えれば、Webminと同様の脆弱性をもったScriptがいっぱいあるってことで、危険なPerlScriptがいっぱいあるのですよね。
全然安心できないじゃない?
iTmediaに再掲載されました。
つまり、PerlもC言語みたいに脆弱性のあるプログラムが書けてしまいますよということだ。そして、PerlScriptは保守されていないことが多い。だってPerlは簡単にScriptを書けるようにできていて、読みやすいようにはできていないから。
危険なのは、Perlのフォーマットの文字数指定。詳しく書くと、
Perlの文字列のフォーマットで変数の値を文字数を指定して表示させることができる。しかし、その変数の値の文字数がフォーマット文で指定した文字数を大幅に上回った場合に整数バッファーオーバーフローを引き起こさせられる。これを利用すると、任意のメモリーを上書きしたりできるらしい。
やばっ。
プログラム作成時の対策はこれ
Perlでフォーマットを指定する場合は、事前に文字数等をチェックする必要があるそうだ。
えーっと、つまり、それは、Perl Scriptで文字数を指定するフォーマットがあるものを探し出して、訂正しろってことですか?
YesYesYes Oh, my god!
Fedora CoreではPerlのUpdateがでているらしいです。