PHP: Letztes Update mit Fehler in Krypto-Funktion

Die Entwickler der weit verbreiteten Skriptsprache PHP haben darauf hingewiesen, dass das letzte Update mit der Versionsnummer 5.3.7 eine schwere Sicherheitslücke enthält. Vor einem Update auf diese Fassung wird ausdrücklich gewarnt. Eine fehlerbereinigte Version soll bald vorliegen. PHP 5.3.7 wurde in der vergangenen Woche freigegeben und sollte verschiedene andere Sicherheitslücken beseitigen. Nun wurde jedoch ein Bug in der Methode entdeckt, mit dem eine Kryptographie-Funktion Eingaben entgegennimmt. Die Funktion crypt() kann hier falsche Werte zurückgeben.

Wird diese eingesetzt, um über den MD5-Algorithmus einen Hash-Wert mit Salt zu berechnen, erhält man statt des berechneten Hashes nur den Salt-Wert zurück. Eigentlich sollten beide Werte übergeben werden. Durch den Bug würden nach einer Installation des Updates beispielsweise Authentifizierungs-Systeme, bei denen das Passwort als MD5-Hash in der Datenbank abgelegt wurde, nicht mehr funktionieren.

Nach Angaben der Entwickler ist der Fehler allerdings auf diesen Algorithmus beschränkt. Anwendungen, die stattdessen auf DES oder Blowfish setzen, funktionieren weiterhin. Das Problem wurde kurz vor der Veröffentlichung der neuen Version von einem Beta-Tester im Bug-Report gemeldet. Allerdings fiel der Eintrag wohl vor der Herausgabe nicht mehr auf. Verschiedene weitere Anwender konnten den Fehler auf einer Reihe von Plattformen ebenfalls nachvollziehen.

Das PHP-Entwicklerteam konnte die Quelle des Problems bereits ausmachen und dieses beheben. Nach abschließenden Tests soll eine neue stabile Fassung in den kommenden Tagen angeboten werden. Der Fehler entstand vermutlich, als die Programmierer ein anderes Problem mit Salts in der crypt()-Funktion beheben wollten. Dieses wurde in den Release Notes zur Version 5.3.7 als behoben markiert.