PHP Project рекомендует не устанавливать последнюю версию PHP 5.3.7

image

Теги: PHP, уязвимость

На сайте PHP Project опубликована рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия уязвимости в коде приложения.

Сегодня на сайте PHP Project появилась рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия ошибки безопасности. Вследствие выхода последней версии PHP 5.3.7, в которой было устранено 6 уязвимостей, в код функции crypt() были внесены некоторые изменения, которые нарушают корректность работы этой функции. В результате допущенной ошибки, функция crypt() для MD5 хешей возвращает только значение salt, вместо хеша. Например:

Пример сценария:
---------------
printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$'));

Ожидаемый результат:
----------------
MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1

Полученный результат:
--------------
MD5: $1$U7AjYB.O

Проблема существует только для хешей MD5 и не затрагивает хеши DES и BLOWFISH. Производитель рекомендует подождать несколько дней до выхода новой версии PHP 5.3.8, в которой эта уязвимость будет устранена.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus