Пользователям PHP не стоит использовать последнее обновление
23.08.2011
Специалисты по PHP призывают пользователей избегать обновления, выпущенного на прошлой неделе и содержащего серьезный баг, затрагивающий некоторые криптографические функции.
Уязвимость в версии 5.3.7 затрагивает функцию crypt(), используемую для хеширования. При использовании оператора языка с алгоритмом MD5 и некоторыми характеристиками соли, рандомизирующей получаемое в результате хеш-значение, программа выдает лишь соль вместо "соленого" хеша. Баг не затрагивает криптографическую функцию когда используются алгоритмы DES или Blowfish.
"Если шифрование выполняется при помощи "соленого" MD5, возвращаемое значение состоит лишь из соли", - гласит отчет о баге, опубликованный в среду. "DES и Blowfish соли функционируют как положено".
Несмотря на информационный бюллетень, команда, обеспечивающая функционирование PHP, выпустила обновление на следующий день после его публикации. Оно устраняло несколько уязвимостей, включая переполнение буфера путем передачи некорректной соли в функцию crypt().
В понедельник специалисты порекомендовали пользователям избегать обновления.
"Из-за проблем с 5.3.7 пользователи вынуждены дожидаться выпуска обновления 5.3.8 (ожидается через несколько дней)", - написали они.
Для тех, кто не может ждать до следующего выпуска, предварительные версии фиксов доступны здесь и здесь.
