[Security-team] Fwd: [USN-222-2] Perl vulnerability

[Vladimir Lettiev]

Michael Shigorin пишет:
> 	Здравствуйте.
> Граждане, ни у кого теста на дополнительно открывшееся 
> не завалялось?
> 
> ----- Forwarded message from Martin Pitt <martin.pitt/canonical.com> -----

А Martin Pitt - монтср. Раскопал недостаточность патча для xpdf и кучки 
его форков, тут ещё и в perl'е новая раскопка...

>     http://security.ubuntu.com/ubuntu/pool/main/p/perl/perl_5.8.4-6ubuntu1.2.diff.gz
>       Size/MD5:    89318 a3a73738a8b8efd75aa182cd13fb1860

Вот этот diff посмотри, тест там есть.^^^

По сути такой код:

#!/usr/bin/perl
use warnings;

my $result = sprintf join('', map("%$_\$s%" . ~$_ . '$s', 1..20)), qw(a 
b c d);

print $result,"\n";


Должен не свалиться в сегфолт, выдать на stdin результат "abcd" и 36 раз 
выдать на stderr сообщение, где есть подстрока /uninitialized/ и больше 
никаких других warning'ов.

perl-base-5.8.7-alt3 этот тест проходит...


-- 
С уважением, Владимир Леттиев aka crux <crux на gorodmasterov.com>