PHP 5.3.7 tiene problemas de seguridad en crypt()

Monday 22 de August de 2011, 8:35 am 1 Comment

PHP Logo¡Ojo colegas desarrolladores! En la reciente actualización estable PHP 5.3.7 se ha detectado un error grave de seguridad, específicamente en la función crypt(), la cual es usada para obtener el hash de una cadena (normalmente contraseñas).

El error sucede cuando se le pasa como argumento un salt MD5 a la función crypt(), en cuyo caso se devuelve el mismo salt y no el hash de la cadena. Es importante hace notar que si se utilizan salts DES y BLOWFISH la función devuelve correctamente el valor esperado.

En los siguientes días debe liberarse una actualización de seguridad (PHP 5.3.8), pero mientras eso sucede se recomienda a los desarrolladores no migrar a PHP 5.3.7.

Via: The H Security.

Share

Post tags