Odkrit resen hrošč v PHP 5.3.7

Matej Huš

23. avg 2011 ob 10:03:20

V prejšnji teden izdani novi verziji skriptnega jezika PHP 5.3.7 so odkrili resno ranljivost, zaradi katere avtorji priporočajo, da z nadgradnjo počakamo. Čeprav je bila inačica 5.3.7 izdana prav z namenom počistiti zalego hroščev, kar ji je dobro uspelo, je prinesla novega.

Odkrili so namreč napako v kriptografski funkciji crypt(). Kadar ta uporablja kodirni algoritem MD5, potem vrača enostavno le vrednost uporabljenega salta. Pri uporabi drugih algoritmov, recimo Blowfish ali DES, težav ni. Napaka je bila odkrita in javljena v sredo, dan pred izidom nove verzije. Razvijalci so problem že diagnosticirali in izdelali popravek, ki bo vključen v PHP 5.3.8, ki bo izšel kmalu. Do takrat pa uporabnikom priporočajo uporabo PHP 5.3.6.