Разработчики популярного языка программирования PHP накануне предупредили пользователей о серьезной уязвимости, обнаруженной в недавно выпущенной версии языка PHP 5.3.7. В связи с обнаруженным багом, затрагивающим систему шифрования информации, разработчики не советуют пользователям обновляться до последней версии.
Версия PHP 5.3.7 была выпущена буквально на прошлой неделе и согласно описанию она содержит в себе исправления для ряда ранее выявленных уязвимостей. Сейчас разработчики говорят, что в версии 3.5.7 были закрыты одни программные уязвимости, но вместо них возникла новая проблема, связанная с реализацией популярной функции crypt(), применяемой для защиты информации при помощи стандарта MD5.
Проблема в новой версии заключается в том, что crypt() не возвращает нужные хеш-значения функций. Разработчики говорят, что проблема возникает только в случае со стандартом шифрования MD5, тогда как работа с Blowfish или DES таких сбоев не вызывает. Разработчики из PHP Group говорят, что внутри цикла разработки у них уже есть исправленная версия языка PHP и сейчас она проходит тестирование, которое будет завершено в ближайшие пару дней, после чего можно будет ожидать появления обновленной версии PHP.
По словам разработчиков, несмотря на то, что язык PHP в последние годы стал очень популярен, на сегодня ни один из официальных Linux-дистритубивов не работает с данной версией языка, также разработчики говорят, что сами пользователи также в основной массе не успели перейти на новую версию языка.
Подробное описание бага доступно по адресу https://bugs.php.net/bug.php?id=55439
Источник: CyberSecurity
|
