The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз PHP 5.3.8 с устранением серьёзной проблемы безопасности"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз PHP 5.3.8 с устранением серьёзной проблемы безопасности"  +/
Сообщение от opennews (??) on 01-Окт-11, 23:02 
Спустя несколько дней с момента выхода PHP 5.3.7 (https://www.opennet.ru/opennews/art.shtml?num=31537) доступен (http://www.php.net/archive/2011.php#id2011-08-23-1) корректирующий релиз PHP 5.3.8, в котором устранена серьёзная проблема безопасности, появившаяся в версии PHP 5.3.7 в результате некорректного исправления переполнения буфера в функции crypt(). Некорректное исправлением ошибки в функции crypt() привело (https://bugs.php.net/bug.php?id=55439) к тому, что при запуске с явным указанием salt, вместо хэша MD5 стало возвращаться только значение salt. Если какое-то приложение использовало crypt для нужд идентификации, то для пользователей хэш пароля у которых был создан в PHP 5.3.7, стал возможен вход с любым паролем. Проблема проявляется только для хэшей MD5 (используются по умолчанию) и не затрагивает хэши DES и BLOWFISH.


Дополнительно в коде, связанном с OpenSSL, возвращен старый код обработки таймаутов, используемый в версии PHP 5.3.6, так как в PHP 5.3.7 наблюдались обрывы SSL-соединений при использовании mysqlnd.


URL: http://www.php.net/archive/2011.php#id2011-08-23-1
Новость: https://www.opennet.ru/opennews/art.shtml?num=31570

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз PHP 5.3.8 с устранением серьёзной проблемы безопасност..."  +/
Сообщение от ls (??) on 01-Окт-11, 23:02 
> Разработчики напоминают, что ветка PHP 5.2 больше не поддерживается и все находящиеся в ней уязвимости остаются неисправленными,

Бэкпортировал исправленные уязвимости в код PHP 5.2.17 (а патчи сделал человек который держит репозиторий centos.alt.ru)

Желающие пропатчить дырявый PHP 5.2.17 могут скачать либо патч безопасности, либо большой патч с багфиксами с http://code.google.com/p/php52-backports/

Также если есть толковые адекватные C++ программеры которые могут бэкпортить быстро фиксы из 5.3 в 5.2.17 и при этом ничего не ломать - то свяжитесь со мной (с этого проекта)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру