最近有notification of a major security vulnerability called "Zip Slip"影响了各种语言的大量库(特别是Java,还有JavaScript,GO,Ruby和Python)。
由于这显然不仅限于编译语言,我感兴趣的是,任何主要的Perl库(CPAN或核心Perl)都是可成功的,但Google "Zip slip"+Perl的Google搜索没有产生任何有用的结果。
是否有任何主要的CPAN或核心Perl库易受“Zip Slip”漏洞影响?
答案 0 :(得分:3)
Archive::Tar可用于创建可触发此漏洞的存档文件。当前版本定义了变量$Archive::Tar::INSECURE_EXTRACT_MODE,默认情况下设置为false,这将允许利用此漏洞。该变量在v1.36(2007)中引入;此发行版的旧版本are always susceptible to this exploit。