Beveiligingsgat in PHP-update 5.3.7


Geschreven op donderdag 1 september 2011

PHP-ontwikkelaars hebben een waarschuwing uitgegeven waarin sterk wordt aangeraden om de laatste PHP-update met het versienummer 5.3.7 niet te installeren of te gebruiken vanwege een ernstige beveiligingsfout.

Het gaat om een ernstige fout in de crypt()-functie. Met de crypt()-functie kan een string versleuteld worden en van een hash worden voorzien. In PHP versie 5.3.7 wordt de gewenste hash niet goed teruggeven. In plaatst daarvan geeft de functie alleen de salt-karakters terug. Het probleem zou niet optreden als de functie crypt() wordt aangeroepen met het DES-algoritme of het Blowfish-algoritme.

Dit soort bugs zijn erg gevaarlijk omdat PHP op een zeer groot aantal websites gebruikt wordt. Om dit soort beveiligingsgaten te dichten brengen de ontwikkelaars van PHP met regelmaat updates uit.




Gerelateerde blogs:

28-10-2011  Sophos ontdekt deface-methode met PHP-scripts