Sicherheit
PHP 5.3.7 enthält gravierenden Fehler
von
Thorsten
Eggeling - 24.08.2011
Letzte Woche verkündete das PHP-Core-Team das Erscheinen der neuen und sichereren PHP-Version 5.3.7. Doch schon ein paar Tage später warnt das Team vor dessen Installation und rät auf die Version 5.3.8 zu warten.
Am 18.08.2011 wurde das PHP-Release 5.3.7 veröffentlicht. Laut Angaben der Entwickler sollte es zahlreiche Verbesserungen wie erhöhte Stabilität und sicherheitsrelevante Bugfixes bieten. Die Freude darüber weilte allerdings nur kurz. Denn die Entwickler haben einen gravierenden Fehler festgestellt.
In der Funktion crypt() führt der Fehler dazu, dass als Ergebnis einer MD5-Hash-Operation mit Salt nur das Salt zurückgegeben wird. Eigentlich ist es aber die Aufgabe dieser Funktion, eine Zeichenkette mit Salt und dem jeweiligen Hash-Wert zurückzuliefern. Dadurch ist die Gefahr gegeben, dass die Authentifizierung bei Webanwendungen nicht mehr richtig funktioniert und diese dadurch angreifbar werden. Nur bei den Algorithmen DES und Blowfish funktioniert crypt() korrekt.
Nun raten die Mitglieder des core-Teams den Anwendern dringend von der Installation des PHP 5.3.7 ab. Stattdessen empfehlen sie, die Veröffentlichung von Version 5.3.8 abzuwarten und bitten noch um ein bisschen Geduld.
Update: PHP 5.3.8 ist soeben erschienen. Das genannte Problem mit der Crypt-Funktion soll jetzt behoben sein. Die Entwickler weisen noch einmal darauf hin, die Aktualisierung auf PHP 5.3 zeitnah durchzuführen. PHP 5.2 wird nicht mehr unterstützt und nicht mehr mit Updates versorgt.
