Thread CVE-2024-3094 Vulnerable Module wegen liblzma / xz tools ?
(11 answers)
Opened by GwenDragon at 2024-04-02 11:06 2024-04-02T18:11:32 GwenDragonPerl ist da nicht anders als andere Software auch. Ich weiß nicht, von wem Du da einen Review erwartest, insbesondere für CPAN mit seinen tausenden von Karteileichen? Kennst oder verwendest Du CPAN::Audit? Bei der Gelegenheit: In gut einer Woche (15.-17. März) findet in Frankfurt die Deutsche Perl/Raku-Konferenz statt. Einer der Vorträge hat den Titel "Die sichere "Lieferkette" CPAN". Renée Bäcker hält ziemlich regelmäßig Vorträge zu Security-Themen rund um Perl. 2024-04-02T18:11:32 GwenDragonDa kann man sich zum Beispiel an die Debian-Security-Listen und deren Prozedere bei Security-Themen dranhängen: Perl spielt für Debian eine Rolle in der Bereitstellung der Distribution. Bei Modulen, die nicht als Pakete von Debian bereitgestellt werden, oder wenn man unbedingt die neueste Version zu brauchen meint, hilft das natürlich nichts. Bei SUSE gibt's entsprechendes unter SUSE Security. Da empfiehlt sich mal ein Blick in deren Analyse der Lücke: Kein einziges Release war betroffen. Es hat nur Installationen aus dem "rolling release" im März 2024 erwischt (bei Debian entsprechend die "unstable"- und "testing"-Distribution im selben Zeitraum). Somit war das ganze zwar eine wichtige Lektion zum Thema "Supply Chain Security", aber kein weiteres Drama wert. 2024-04-02T18:11:32 GwenDragonDazu steht einiges in perlsecpolicy. 2024-04-02T18:11:32 GwenDragon"Professionell" gibt's für Geld. Ich habe einige Jahre lang mein Gehalt genau dafür bekommen: Verfolgen der einschlägigen Security-Mailing-Listen, der Advisories der Anbieter, deren Software wir verbauen, selber testen und Tests auswerten... Zum Spaß hätte ich das nicht gemacht. Ich möchte drauf hinweisen: Die liblzma-Lücke war keine Perl-Vulnerability. Das hat überhaupt nichts damit zu tun, ob Perl "absterbend" ist oder wer sich bei Perl um Sicherheits-Themen kümmert. |