zurück zum Artikel

PHP 5.3.7 war erst wenige Stunden veröffentlicht, als sich ein Fehler in der crypt()-Funktion bemerkbar machte. Die aktuelle Version 5.3.8 behebt das Problem.

Es hätte so schön sein können: PHP 5.3.7 wurde veröffentlicht, und brachte gegenüber der Vorgängerversion verschiedene Fehlerbehebungen und Updates mit. Hinterher stellte sich heraus [1], dass crypt() [2] im Zusammenhang mit MD5-Hashes wider Erwarten nur das Salt als Rückgabewert lieferte – was in Webanwendungen, die diese Form der Authentifizierung noch nutzten, dazu führte, dass genau die nicht mehr funktionierte. Dabei waren die Anpassungen an crypt() notwendig geworden, um die Sicherheit der Implementierung weiter zu erhöhen [3].

Das PHP-Team hat jetzt schnell reagiert und PHP 5.3.8 nachgereicht [4]. Es behebt den crypt()-Fehler und macht eine Änderung in der Timeout-Behandlung bei SSL-Verbindungen unter mysqlnd rückgängig [5].

Siehe dazu auch:

• PHP [6] im heise Software-Verzeichnis

(rl [7])

URL dieses Artikels:
https://www.heise.de/-1329735

Links in diesem Artikel:
[1] https://www.heise.de/news/Finger-weg-von-PHP-5-3-7-1328482.html
[2] http://de.php.net/manual/de/function.crypt.php
[3] http://de2.php.net/security/crypt_blowfish.php
[4] http://www.php.net/archive/2011.php#id2011-08-23-1
[5] http://www.php.net/ChangeLog-5.php#5.3.8
[6] http://www.heise.de/software/download/php/34151
[7] mailto:rl@ix.de

Copyright © 2011 Heise Medien