是否有任何主要的CPAN或核心Perl库容易受到"Zip Slip“漏洞的影响？

Question

最近出现了一种影响各种语言(特别是Java，但也包括JavaScript、GO、Ruby和Python语言)的库的notification of a major security vulnerability called "Zip Slip"。

因为这显然不局限于编译语言，所以我很感兴趣是否有任何主要的Perl库(CPAN或core Perl)是成功的，但是"Zip slip"+Perl的谷歌搜索没有产生任何有用的结果。

是否有任何主要的CPAN或核心Perl库易受"Zip Slip“漏洞的影响？

Answer 1

例如，Archive::Tar可用于创建可触发此漏洞的存档文件。当前版本定义了变量$Archive::Tar::INSECURE_EXTRACT_MODE，默认情况下设置为false，这将允许利用此漏洞进行攻击。此变量是在v1.36 (2007)；此发行版are always susceptible to this exploit的旧版本中引入的。