Предупреждение о проблемах безопасности после обновления до PHP 5.3.7

22.08.2011 13:33

Разработчики проекта PHP опубликовали уведомление, в котором попросили пользователей повременить с обновлением своих систем до вышедшей несколько дней назад новой версии PHP 5.3.7 и дождаться выхода PHP 5.3.8, который будет доступен через несколько дней. Причиной стала проблема безопасности, вызванная ошибкой в обновленной реализации функции crypt(), которая в версии 5.3.7 при запуске с явным указанием salt, вместо хэша MD5 возвращает только значение salt. Проблема проявляется только для хэшей MD5 и не затрагивает хэши DES и BLOWFISH.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/31555-php

Ключевые слова: php, crypt, md5, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.1, Аноним (-), 13:54, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не думал, что в PHP _вообще_ нет тестирования качества. Ладно какой-то трудноуловимый баг пропустить, но не проверить работу очевидного изменения после принятия патча, это нонсенс.

2.8, anonymous (??), 15:03, 22/08/2011 [^] [^^] [^^^] [ответить]	+2 +/–
> Не думал, что в PHP _вообще_ нет тестирования качества. почему же «нет»? на юзерах и тестируют. на то оно и похапэ.

2.9, Аноним (-), 15:25, 22/08/2011 [^] [^^] [^^^] [ответить]	–1 +/–
в linux kernel - ровно так же тестируют на хомячках.

3.24, nagual (ok), 18:10, 23/08/2011 [^] [^^] [^^^] [ответить]	+/–
> в linux kernel - ровно так же тестируют на хомячках. Процессоры интел точно так тестируются на хомячках и называются целероны :-))

2.18, solardiz (ok), 21:38, 22/08/2011 [^] [^^] [^^^] [ответить]

+/–

В основном дереве исходников PHP есть unit test'ы - и их там очень много. Как я понял, проблема в том, что некоторые недостатки кода, для которых уже есть тесты, сознательно остаются не исправленными в определенных релизах и/или при определенных вариантах сборки, что и привело к тому, что еще один уже не сознательно не-прошедший тест попросту не заметили:

http://news.php.net/php.internals/54739

Сейчас разработчики подняли дискуссию о том что им надо бы изменить ожидаемый результат части тестов на XFAIL (expected failure) или/и временно убрать часть тестов из основного дерева (перенести их в описания соответствующих багов), чтобы новые сбои были более заметны. Конечно, это лучше было сделать раньше...

1.3, Аноним (-), 14:05, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
жесть! никогда не сомневался в кривости разрабов php, но чтобы так облажаться это надо уметь.

2.15, pro100master (ok), 20:14, 22/08/2011 [^] [^^] [^^^] [ответить]	+1 +/–
- strlcat(passwd, "$", 1); + strcat(passwd, "$"); ------- как "так"? Может принимающий комиты пропустил, может код намерено в таком виде запостили. Запишитесь в тестеры, они давно уже народ набирают.

1.6, wiseman (ok), 14:46, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как знал, что не стоит торопиться с обновлением. Может я ошибаюсь, но кажется, такое уже с ними было

1.10, Аноним (-), 15:43, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
head:~ # php -v PHP 5.3.7 (cli) Copyright (c) 1997-2011 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies только вчера обновился же

1.12, Аноним (-), 16:04, 22/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Уже с патчем. (показал всем язык). :) http://www.freshports.org/commit.php?category=lang&port=php5&files=yes&messag

1.23, Alexander (??), 17:14, 23/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
remi оперативно выпустил апдейт: Updating: php x86_64 5.3.7-2.el5.remi remi 2.8 M ...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: