it-säkerhet

Allvarlig säkerhetsbugg i senaste php

Lämna en kommentar

En allvarlig bugg i senaste php 5.3.7 gör att krypteringen inte fungerar som den ska. ”Uppdatera inte” är uppmaningen från php.

Php är ett skriptspråk som främst används i webbaserade tillämpningar. WordPress, Drupal och Joomla är alla exempel på kända program som använder php i botten.

I slutet av förra veckan släpptes php 5.3.7 men nu larmar php om en säkerhetsbrist och uppmanar alla att vänta med uppgraderingen tills php 5.3.8 släpps om några dagar.

Buggen är allvarlig. När funktionen för kryptering, crypt(), anropas och algoritmen för md5 används så returneras bara en kortare del av den vanligtvis längre textsträngen.

Php beskriver problemet med ett kort exempel:

Strängen ”printf(”MD5: %s\n”, crypt(‘password’, ‘$1$U7AjYB.O$’));” borde returnera resultatet ”MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1” men istället får vi bara ”MD5: $1$U7AjYB.O”.

Skadorna buggen orsakat är sannolikt väldigt begränsade. Majoriteten av alla webbsajter installerar den version av php som valts ut av Linuxdistributionen och undviker att ladda hem och kompilera själva.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s