Am 18.08.2011 wurde das PHP-Release 5.3.7 veröffentlicht. Laut Angaben der Entwickler sollte es zahlreiche Verbesserungen wie erhöhte Stabilität und sicherheitsrelevante Bugfixes bieten. Die Freude darüber weilte allerdings nur kurz. Denn die Entwickler haben einen gravierenden Fehler festgestellt.
In der Funktion crypt() führt der Fehler dazu, dass als Ergebnis einer MD5-Hash-Operation mit Salt nur das Salt zurückgegeben wird. Eigentlich ist es aber die Aufgabe dieser Funktion, eine Zeichenkette mit Salt und dem jeweiligen Hash-Wert zurückzuliefern. Dadurch ist die Gefahr gegeben, dass die Authentifizierung bei Webanwendungen nicht mehr richtig funktioniert und diese dadurch angreifbar werden. Nur bei den Algorithmen DES und Blowfish funktioniert crypt() korrekt.
Nun raten die Mitglieder des core-Teams den Anwendern dringend von der Installation des PHP 5.3.7 ab. Stattdessen empfehlen sie, die Veröffentlichung von Version 5.3.8 abzuwarten und bitten noch um ein bisschen Geduld.
Update: PHP 5.3.8 ist soeben erschienen. Das genannte Problem mit der Crypt-Funktion soll jetzt behoben sein. Die Entwickler weisen noch einmal darauf hin, die Aktualisierung auf PHP 5.3 zeitnah durchzuführen. PHP 5.2 wird nicht mehr unterstützt und nicht mehr mit Updates versorgt.