まとめると、今回のPerl脆弱性騒ぎには二つの問題があったわけです。 Perlのprintf関数において、format stringに悪意のある値を与える事で任意のコードを実行されてしまう脆弱性 (Perl format string integer wrap vulnerability) 開発者が(おそらくは)意図…

この話を聞いてまず思うのは、なぜ必要無い場面でFormat stringを受け付ける関数を呼んでしまったのか、ということでした。 結論から言うと、Sys::Syslogモジュールの現時点での最新版(0.09)では問題がないのですが、Perl-5.8.7に入っている版(0.06)では問題…