Релиз PHP 5.3.8 с устранением серьёзной проблемы безопасности
Спустя несколько дней с момента выхода PHP 5.3.7 доступен корректирующий релиз PHP 5.3.8, в котором устранена серьёзная проблема безопасности, появившаяся в версии PHP 5.3.7 в результате некорректного исправления переполнения буфера в функции crypt(). Некорректное исправлением ошибки в функции crypt() привело к тому, что при запуске с явным указанием salt, вместо хэша MD5 стало возвращаться только значение salt. Если какое-то приложение использовало crypt для нужд идентификации, то для пользователей хэш пароля у которых был создан в PHP 5.3.7, стал возможен вход с любым паролем. Проблема проявляется только для хэшей MD5 (используются по умолчанию) и не затрагивает хэши DES и BLOWFISH.Дополнительно в коде, связанном с OpenSSL, возвращен старый код обработки таймаутов, используемый в версии PHP 5.3.6, так как в PHP 5.3.7 наблюдались обрывы SSL-соединений при использовании mysqlnd.
© OpenNet
