PHP: Letztes Update mit Fehler in Krypto-Funktion

Die Entwickler der weit verbreiteten Skriptsprache PHP haben darauf hingewiesen, dass das letzte Update mit der Versionsnummer 5.3.7 eine schwere Sicherheitslücke enthält. Vor einem Update auf diese Fassung wird ausdrücklich gewarnt. mehr... Quellcode, Code, Programmiersprache, Php, Source Code Quellcode, Code, Programmiersprache, Php, Source Code Free for Commercial Use / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
tja das kommt dabei raus wenn man auf irgend nen open source scheiss setzt wo jeder drin rumpfuscht!
 
@iSUCK: NICHT füttern. Der geneigte Leser wird es danken.
 
Ist natürlich schade, aber ich kenne auch kaum jemand der sofort die neuste Version installiert ohne diese vorher zu testen oder wenigstens ein Backup zu ziehen.
 
Nun versteht vll der ein oder andere, warum Produktivsysteme nicht immer sofort die neuste Version haben. Nebenbei: Ist md5 überhaupt noch sinnvoll? ich nutze lieber sha usw.
 
@MrChaos: md5 gilt als unsicher und sollte nicht mehr verwendet werden. sha1 ist da (noch) sicher
 
@zwutz: sha1 ist immer noch sicher. Nur weil 2 Bit(!) weniger für den Schlüssel berechnet werden müssten, heißt es nicht das es deswegen unsicher ist, bei einem sha1 512 Hash wären immer noch 520 Bit übrig.
 
@RobCole: ja, ist klar. Darauf hab ich garnicht angespielt. Aber auch md5 galt mal als sicher, bis sich gesicherte Kollisionen immer mehr häuften. Schlimmstenfalls ist es auch bei sha1 nur eine Frage der Zeit, bis gezielte Angriffe möglich sein werden. Aber ja, aktuell siehts nicht danach aus und sha1 kann bedenkenlos genutzt werden
 
@zwutz: Es sollte noch eine Weile dauern bis sha1 komplett als unsicher gilt. Man könnte auch noch auf sha2 oder der für 2012 vorgesehenen sha3 wechseln.
 
Da fehlt ein Mechanismus im Bugtracking-System, der bei kritischen Bugs, die nicht explizit als "wird erstmal ignoriert" markiert sind, die Freigabe unterbindet. Dumm gelaufen, aber wer noch md5 verwendet, wird wohl eh in den paar Wochen noch nicht aktualisiert haben :p
 
5.3.8 ist raus http://goo.gl/iKGJl
 
Der Bug war noch viel schlimmer: Neu angemeldete Nutzer oder Nutzer, die ihr Passwort geändert hatten, konnten anschließend mit jedem beliebigen Passwort authentifiziert werden.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen