Ostrzeżenie dla aktualizujących PHP do wersji 5.3.7

Ważna wiadomość dla wszystkich administratorów serwerów oraz właścicieli serwisów internetowych, którzy rozważali lub dokonali aktualizacji PHP do wersji 5.3.7.

Błąd, który pojawił się w ostatnio wydanej wersji PHP dotyczy funkcji crypt() i używanego w niej domyślnie algorytmu MD5. W opisywanym na stronie błędu #55439 scenariuszu, programista próbował wykonać kod crypt('password', '$1$U7AjYB.O$');, którego wynikiem powinna być suma kontrolna ciągu znaków zawierającego tzw. sól (w tym wypadku "$1$U7AjYB.O$"). Błąd w PHP powodował, że opisywana funkcja zwracała ciąg znaków podanych jako sól, a nie wynik działania funkcji skrótu. Błąd został już naprawiony, pojawiły się zaktualizowane, niestabilne wersje PHP przeznaczone dla systemu Windows oraz dla pozostałych systemów operacyjnych. Zgłoszony błąd dotyczy jedynie algorytmu MD5 i w przypadku zastosowania pozostałych oferowanych przez crypt() algorytmów będzie zachowywała się prawidłowo.

Zespół rozwijający PHP zaleca wstrzymanie się z aktualizacją do czasu wydania nowej wersji oznaczonej numerem 5.3.8, która powinna pojawić się w ciągu najbliższych dni.