「ActivePerl」v5.26が公開、脆弱性対策として“@INC”の仕様変更が導入される

「ActivePerl」v5.26

　カナダのActiveState Corporationは18日（現地時間）、スクリプト言語「Perl」の商用向けバイナリディストリビューション「ActivePerl」の最新版v5.26を公開した。v5.26では「Unicode 9.0」サポートが追加され72個の新しい絵文字が利用できるようになったほか、セキュリティの強化が施されている。

　最新版では、2016年からある「Perl」の脆弱性“CVE-2016-1238”に対する完全な対策として、“@INC”で“.”を許可しないという仕様変更が導入された。この変更は既存スクリプトの実行に影響を及ぼす恐れがあるため、当面の回避策として“PERL_USE_UNSAFE_INC”環境変数を“1”にセットすることで無効化できるようになっているが、将来バージョンではこのオプションも段階的に廃止される予定だ。

　なお、“@INC”の仕様変更は旧バージョンのv5.24およびv5.22にも導入されているという。

　「ActivePerl」はWindows 7/8/10およびWindows Server 2008/Server 2012に対応しており、現在、同社のWebサイトからダウンロード可能。商業・政府組織における本番利用でなければ、オープンソースコミュニティ向けの“Community Edition”が無償で利用できる。