The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Предупреждение о проблемах безопасности после обновления до PHP 5.3.7

22.08.2011 13:33

Разработчики проекта PHP опубликовали уведомление, в котором попросили пользователей повременить с обновлением своих систем до вышедшей несколько дней назад новой версии PHP 5.3.7 и дождаться выхода PHP 5.3.8, который будет доступен через несколько дней. Причиной стала проблема безопасности, вызванная ошибкой в обновленной реализации функции crypt(), которая в версии 5.3.7 при запуске с явным указанием salt, вместо хэша MD5 возвращает только значение salt. Проблема проявляется только для хэшей MD5 и не затрагивает хэши DES и BLOWFISH.

  1. Главная ссылка к новости (http://www.php.net/index.php#i...)
  2. OpenNews: Релиз PHP 5.3.7 с устранением 6 уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: php, crypt, md5, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:54, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не думал, что в PHP _вообще_ нет тестирования качества. Ладно какой-то трудноуловимый баг пропустить, но не проверить работу очевидного изменения после принятия патча, это нонсенс.
     
     
  • 2.8, anonymous (??), 15:03, 22/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не думал, что в PHP _вообще_ нет тестирования качества.

    почему же «нет»? на юзерах и тестируют. на то оно и похапэ.

     
  • 2.9, Аноним (-), 15:25, 22/08/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в linux kernel - ровно так же тестируют на хомячках.
     
     
  • 3.24, nagual (ok), 18:10, 23/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > в linux kernel - ровно так же тестируют на хомячках.

    Процессоры интел точно так тестируются на хомячках и называются целероны :-))

     
  • 2.18, solardiz (ok), 21:38, 22/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В основном дереве исходников PHP есть unit test'ы - и их там очень много. Как я понял, проблема в том, что некоторые недостатки кода, для которых уже есть тесты, сознательно остаются не исправленными в определенных релизах и/или при определенных вариантах сборки, что и привело к тому, что еще один уже не сознательно не-прошедший тест попросту не заметили:

    http://news.php.net/php.internals/54739

    Сейчас разработчики подняли дискуссию о том что им надо бы изменить ожидаемый результат части тестов на XFAIL (expected failure) или/и временно убрать часть тестов из основного дерева (перенести их в описания соответствующих багов), чтобы новые сбои были более заметны. Конечно, это лучше было сделать раньше...

     

  • 1.3, Аноним (-), 14:05, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    жесть! никогда не сомневался в кривости разрабов php, но чтобы так облажаться это надо уметь.
     
     
  • 2.15, pro100master (ok), 20:14, 22/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    - strlcat(passwd, "$", 1);
    + strcat(passwd, "$");
    -------

    как "так"? Может принимающий комиты пропустил, может код намерено в таком виде запостили. Запишитесь в тестеры, они давно уже народ набирают.

     

  • 1.6, wiseman (ok), 14:46, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как знал, что не стоит торопиться с обновлением. Может я ошибаюсь, но кажется, такое уже с ними было
     
  • 1.10, Аноним (-), 15:43, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    head:~ # php -v
    PHP 5.3.7 (cli)
    Copyright (c) 1997-2011 The PHP Group
    Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies

    только вчера обновился же

     
  • 1.12, Аноним (-), 16:04, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уже с патчем. (показал всем язык). :)
    http://www.freshports.org/commit.php?category=lang&port=php5&files=yes&messag
     
  • 1.23, Alexander (??), 17:14, 23/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    remi оперативно выпустил апдейт:
    Updating:
    php                              x86_64                     5.3.7-2.el5.remi                        remi                     2.8 M
    ...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру