На сайте PHP Project опубликована рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия уязвимости в коде приложения.
Сегодня на сайте PHP Project появилась рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия ошибки безопасности. Вследствие выхода последней версии PHP 5.3.7, в которой было устранено 6 уязвимостей, в код функции crypt() были внесены некоторые изменения, которые нарушают корректность работы этой функции. В результате допущенной ошибки, функция crypt() для MD5 хешей возвращает только значение salt, вместо хеша. Например:
Пример сценария:
---------------
printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$'));
Ожидаемый результат:
----------------
MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1
Полученный результат:
--------------
MD5: $1$U7AjYB.O
Проблема существует только для хешей MD5 и не затрагивает хеши DES и BLOWFISH. Производитель рекомендует подождать несколько дней до выхода новой версии PHP 5.3.8, в которой эта уязвимость будет устранена.
Одно найти легче, чем другое. Спойлер: это не темная материя