Weil . aus @INC für Core-Module in 5.24.1 entfernt wurde. Das ist eine Sicherheitsfunktion, um einen Exploit zu verhindern, der diesen Blog-Eintrag enthält spricht darüber.
Im Februar habe ich ein Ticket mit Perl 5 Porters geöffnet, damit sie eine nicht standardmäßige Option zum Entfernen akzeptieren. von @INC. Leider wurde ich bis zum Anschlag geschlagen und Perl 5 Security wurde ein Exploit offenbart. TL; DR: Es sind jetzt Unsicherheiten bekannt geworden. in @INC.
Die Änderung ist in perldelta für 5.24.1.
Dies verhindert, dass ein Angreifer ein optionales Modul in einen Prozess einfügt, der von einem anderen Benutzer ausgeführt wird, wobei das aktuelle Verzeichnis vom Angreifer beschreibbar ist, z. das Verzeichnis / tmp.
Es wird höchstwahrscheinlich in 5.26 vollständig entfernt werden . Hier finden Sie weitere Diskussionen auf der p5p-Mailingliste von < a href="http://blogs.perl.org/users/sawyer_x/2017/01/perl-5-porters-mailing-list-summary-january-16th-22d.html"> diesen Blogbeitrag .
Hier sind (einige von) die Commits das machen diese Änderungen.
Der Perl Pumpkin erklärt auch Sawyer X in der Vortrag Perl 5.24, 5.26 und die Zukunft von Perl 5 gab er auf der FOSDEM 2017 . Hier ist die Aufzeichnung des Vortrags 1 .