BLOGTIMES
« :: »
2011/08/23

PHP 5.3.7 の crypt() に注意!

  php 
このエントリーをはてなブックマークに追加

PHP 5.3.7 の crypt() に大穴があったということで騒ぎになっています。
当該のバージョンを使っている場合には、すみやかにダウングレードするのが賢明なようです。
アップデート版のPHP 5.3.8がリリースされたので、速やかにアップデートする必要があります。

徳丸浩の日記: PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)

PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます(公式リファレンス)。crypt関数のハッシュアルゴリズムとしてMD5を指定した場合、ソルトのみが出力され、ハッシュ値が空になります。これは、crypt関数の結果がソルトのみに依存し、パスワードには影響されないことを意味し、crypt関数を認証に用いている場合、任意のパスワードでログインに成功する可能性があります。

過去にはIEが1文字の誤りから脆弱性を招いたということがあったように、バグとしては凡ミスですが、箇所が箇所だけに影響が大きいですね。


    by hsur at 15:29 [5年前][4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |
    こんな記事もあります 「ソルト 関数 ハッシュ
    ネットワーク機器を廃棄する前に設定情報の消去を
    SHA-1 は 2030 年 12 月 31 日までに廃止へ
    Python で一定時間経つと内容が勝手に消えるハッシュ
    Windows 上で .pfx/.p12 の中身を確認するには
    scanf() で整数を 1 バイト分だけ読み取る
    L0phtCrack が OSS に
    全国農地ナビ
    GitHub が AI による自動プログラミングツールを公開
    terser を使って js を最適化してみる
    LD_PRELOAD で標準ライブラリの関数の挙動を変更する
    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/4404
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン

    « :: »
    Copyright © 2004-2023 by CLES All Rights Reserved.