PHP Project рекомендует не устанавливать последнюю версию PHP 5.3.7

image

Теги: PHP, уязвимость

На сайте PHP Project опубликована рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия уязвимости в коде приложения.

Сегодня на сайте PHP Project появилась рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия ошибки безопасности. Вследствие выхода последней версии PHP 5.3.7, в которой было устранено 6 уязвимостей, в код функции crypt() были внесены некоторые изменения, которые нарушают корректность работы этой функции. В результате допущенной ошибки, функция crypt() для MD5 хешей возвращает только значение salt, вместо хеша. Например:

Пример сценария:
---------------
printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$'));

Ожидаемый результат:
----------------
MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1

Полученный результат:
--------------
MD5: $1$U7AjYB.O

Проблема существует только для хешей MD5 и не затрагивает хеши DES и BLOWFISH. Производитель рекомендует подождать несколько дней до выхода новой версии PHP 5.3.8, в которой эта уязвимость будет устранена.


или введите имя

CAPTCHA
WinUser
22-08-2011 14:13:17
Подожду пока этот ПыХаПЭ купит Микрософт, а пока ASP.NET рулит
0 |
Пихто
22-08-2011 17:56:40
Скорее, PHP купит Микрософт.
0 |
22-08-2011 14:34:29
Ха Ха Ха а я то все думаю и на кой так раструбили на новостных сайтах что вышла новая версия пыха Да для того что бы побольше народу чудно обновилось с багами
0 |
22-08-2011 15:04:14
Ну вобщем понятно обновляем дерево портов, выкачиваем сам порт, и толькоспустя месяц после выходя этого нового порта устанавливаем его Лазейки мля... повсюду
0 |
84846
22-08-2011 14:40:11
чето гон какойто =\ $ php test.php MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1 $ php -v PHP 5.3.7 with Suhosin-Patch (cli) (built: Aug 22 2011 14:34:16) Copyright (c) 1997-2011 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies $ cat test.php <?php printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$')); ?>
0 |
22-08-2011 15:13:52
https://bugs.php.net/bug.php?id=55439
0 |
FSA
22-08-2011 16:39:30
Всё работает так, как в баге описано. Проблема есть явно. # uname -a FreeBSD xxx.local 8.2-RELEASE FreeBSD 8.2-RELEASE #2: Wed Feb 23 06:13:29 YEKT 2011     fsa@xxx.local:/usr/obj/usr/src/sys/JABBER  i386 # cat test.php <?php printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$')); ?> # php test.php MD5: $1$U7AjYB.O # php -v PHP 5.3.7 with Suhosin-Patch (cli) (built: Aug 21 2011 04:33:53) Copyright (c) 1997-2011 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies
0 |