Есть ли какая-либо из основных библиотек CPAN или базовых Perl, подверженных уязвимости "Zip Slip"?

Question

Недавно было получено уведомление о серьезной уязвимости безопасности, называемой "Zip Slip" , которая затрагивает многочисленные библиотеки на разных языках (особенно Java, но также JavaScript, GO, Ruby и Python).

Поскольку это явно не ограничивается скомпилированными языками, меня интересовало, были ли какие-либо из основных библиотек Perl (CPAN или основной Perl) успешными, но поиск в Google для "Zip slip"+Perl не дал никаких полезных результатов.

Подходит ли какая-либо из основных библиотек Perl CPAN или ядра Perl уязвимости "Zip Slip"?

Answer 1

Archive::Tar, например, может использоваться для создания архивных файлов, которые могут вызвать эту уязвимость.Текущая версия определяет переменную $Archive::Tar::INSECURE_EXTRACT_MODE, по умолчанию установленную в false, что позволит использовать эту уязвимость.Эта переменная была введена в v1.36 (2007);более старые версии этого дистрибутива всегда подвержены этой уязвимости .