PHP Project рекомендует не устанавливать последнюю версию PHP 5.3.7

PHP Project рекомендует не устанавливать последнюю версию PHP 5.3.7

На сайте PHP Project опубликована рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия уязвимости в коде приложения.

Сегодня на сайте PHP Project появилась рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия ошибки безопасности. Вследствие выхода последней версии PHP 5.3.7, в которой было устранено 6 уязвимостей, в код функции crypt() были внесены некоторые изменения, которые нарушают корректность работы этой функции. В результате допущенной ошибки, функция crypt() для MD5 хешей возвращает только значение salt, вместо хеша. Например:

Пример сценария:
---------------
printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$'));

Ожидаемый результат:
----------------
MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1

Полученный результат:
--------------
MD5: $1$U7AjYB.O

Проблема существует только для хешей MD5 и не затрагивает хеши DES и BLOWFISH. Производитель рекомендует подождать несколько дней до выхода новой версии PHP 5.3.8, в которой эта уязвимость будет устранена.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь