Opened by barney at 2026-03-13 13:38
User since
2015-01-07
599 Artikel
BenutzerIn
2015-01-07
599 Artikel
BenutzerIn
2026-03-13T13:19:29 GwenDragonDas besagt nur, dass auf CPAN eine reparierte Version angeboten ist - für alle Betriebssysteme. Compress::Raw::Zlib wird aber mit Perl selbst ausgeliefert, die relevante Prüfung wäre also (mit cmd.exe-Syntax):Windows StrawberryPerl 5.36
Code: (dl )1
2cpan> i /Compress::Raw::Z/
Module < Compress::Raw::Zlib (PMQS/Compress-Raw-Zlib-2.222.tar.gz)
Code: (dl
)
perl -E "say $Compress::Raw::Zlib::Version"
Wenn Du das Modul mit cpanm drüberinstallerst, hast Du die reparierte Version, sonst nicht.
2026-03-13T13:19:29 GwenDragonUbuntu sagt interessanterweise für diese Versionen "not affected". Das ist wohl auch richtig: Ubuntu baut (wie Debian) das Modul so, dass die Systemversion von zlib verwendet wird, und das steht auch so in dem von Dir angegebenen Debian advisory. Es reicht also, wenn die (paket zlib1g) repariert ist.Mal sehen, was mein Linux so sagt.
Das Perl-Package selbst is 2.204-1, ist aber nicht installiert bei mir.
Ist auch gefixt laut https://security-tracker.debian.org/tracker/CVE-20....
Compress::Raw::Zlib bringt aber auch die kompletten Sourcen der zlib mit, und man kann es so bauen, dass diese mitgebrachten Sourcen verwendet werden. Nur in dem Zusammenhang muss das Perl-Modul aktualisiert werden.