PHP: Letztes Update mit Fehler in Krypto-Funktion

Die Entwickler der weit verbreiteten Skriptsprache PHP haben darauf hingewiesen, dass das letzte Update mit der Versionsnummer 5.3.7 eine schwere Sicherheitslücke enthält. Vor einem Update auf diese Fassung wird ausdrücklich gewarnt. Eine fehlerbereinigte Version soll bald vorliegen.
PHP 5.3.7 wurde in der vergangenen Woche freigegeben und sollte verschiedene andere Sicherheitslücken beseitigen. Nun wurde jedoch ein Bug in der Methode entdeckt, mit dem eine Kryptographie-Funktion Eingaben entgegennimmt. Die Funktion crypt() kann hier falsche Werte zurückgeben.

Wird diese eingesetzt, um über den MD5-Algorithmus einen Hash-Wert mit Salt zu berechnen, erhält man statt des berechneten Hashes nur den Salt-Wert zurück. Eigentlich sollten beide Werte übergeben werden. Durch den Bug würden nach einer Installation des Updates beispielsweise Authentifizierungs-Systeme, bei denen das Passwort als MD5-Hash in der Datenbank abgelegt wurde, nicht mehr funktionieren.

Nach Angaben der Entwickler ist der Fehler allerdings auf diesen Algorithmus beschränkt. Anwendungen, die stattdessen auf DES oder Blowfish setzen, funktionieren weiterhin. Das Problem wurde kurz vor der Veröffentlichung der neuen Version von einem Beta-Tester im Bug-Report gemeldet. Allerdings fiel der Eintrag wohl vor der Herausgabe nicht mehr auf. Verschiedene weitere Anwender konnten den Fehler auf einer Reihe von Plattformen ebenfalls nachvollziehen.

Das PHP-Entwicklerteam konnte die Quelle des Problems bereits ausmachen und dieses beheben. Nach abschließenden Tests soll eine neue stabile Fassung in den kommenden Tagen angeboten werden. Der Fehler entstand vermutlich, als die Programmierer ein anderes Problem mit Salts in der crypt()-Funktion beheben wollten. Dieses wurde in den Release Notes zur Version 5.3.7 als behoben markiert. Quellcode, Code, Programmiersprache, Php, Source Code Quellcode, Code, Programmiersprache, Php, Source Code Free for Commercial Use / Flickr
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 15:40 Uhr Edision Argus VIP HDTV
Edision Argus VIP HDTV
Original Amazon-Preis
99,90
Im Preisvergleich ab
99,00
Blitzangebot-Preis
79,20
Ersparnis zu Amazon 21% oder 20,70

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden