You are hereГруппы / Безопасность / Исправленный PHP 5.3.7 все равно небезопасен

Исправленный PHP 5.3.7 все равно небезопасен


By metelica - Posted on 22 августа 2011

Картинка: 
PHP

Сегодня на сайте PHP Project появилась рекомендация не устанавливать последнюю доступную версию PHP 5.3.7 из-за наличия ошибки безопасности. Вследствие выхода последней версии PHP 5.3.7, в которой было устранено 6 уязвимостей, в код функции crypt() были внесены некоторые изменения, которые нарушают корректность работы этой функции. В результате допущенной ошибки, функция crypt() для MD5 хешей возвращает только значение salt, вместо хеша.

Например:

Пример сценария:
---------------
printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$'));

Ожидаемый результат:
----------------
MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1

Полученный результат:
--------------
MD5: $1$U7AjYB.O

Проблема существует только для хешей MD5 и не затрагивает хеши DES и BLOWFISH. Производитель рекомендует подождать несколько дней до выхода новой версии PHP 5.3.8, в которой эта уязвимость будет устранена.

© securitylab.ru

Отправить комментарий

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 31 гость.

Последние комментарии