Portál AbcLinuxu, 11. května 2025 16:43

Vývojáři varují před upgradem na PHP 5.3.7

Vývojáři programovacího jazyka PHP nedoporučují a varují před upgradem na poslední stabilní vydání PHP 5.3.7. To sice opravovalo bezpečnostní chyby, nicméně další vážnou chybu stejného druhu přineslo. Funkce crypt(), která se používá při hashování, selhává, když je jako argument použit MD5 salt. Výsledkem poté není hash řetězce, ale samotný salt.

22.8.2011 22:58 | Migi | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

22.8.2011 23:43 no
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin
Vývojáři PHP jsou stejné lopaty jako ti, co ten jazyk používají. Bug za bugem, v jazyku neskutečný bordel....
22.8.2011 23:44 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Nojo, jenže takhle jde mluvit o naprosto čemkoliv.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
22.8.2011 23:51 no
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Který jiný jazyk má takový bordel ve funkcích, že polovina má jiné pořadí parametrů? Který jiný jazyk zavádí nekompatibility mezi minor verzemi? Který jiný jazyk má názvy proměnných case-sensitive a názvy funkcí case-insensitive? který jiný jazyk si hraje na objektovost, přitom základní moduly (mysql, postgres atd...) má neobjektový charakter? Mohl bych pokračovat, v PHP mám napsáno dost...
23.8.2011 00:14 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Ach jo, flame "proč PHP stojí za hovno, po dvoutisící". No, nebudu se hádat na téma "ostatní jazyky", v tom máte pravdu, až na jednu věc. Překvapuje mě, že jako člověk, co "má v PHP napsáno dost" nikdy neslyšel o MySQLi :)

Každopádně, moje pointa byla v tom, že pro jakýkoliv jiný jazyk taky najdu pár dokola omílaných problémů.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
23.8.2011 08:59 sidik
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Nebo PDO :)
cezz avatar 23.8.2011 11:50 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Nebo PDO :)
Ktore ma celkom vtipne spravanie typu:
If your application does not catch the exception thrown from the PDO constructor, the default action taken by the zend engine is to terminate the script and display a back trace. This back trace will likely reveal the full database connection details, including the username and password.
Computers are not intelligent. They only think they are.
Heron avatar 23.8.2011 13:00 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Výjimka vyhazovaná z konstruktoru je také moc milá věc :-D
Heron
23.8.2011 13:19 Sten
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Výjimka vyhazovaná z konstruktoru je v jazycích používajících RAII normální a správné chování.
23.8.2011 13:20 sidik
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Když někdo neumí programovat (platí jak pro vývojáře PHP tak vývojáře v PHP)...
23.8.2011 13:23 marmax
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
ROFL
23.8.2011 16:35 jos
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
jestli někdo na produkčním serveru zobrazuje nastalé chyby uživatelům tak je trotl nezávisle na jazyku
cezz avatar 23.8.2011 17:05 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
No ja som to pochopil tak, ze v tomto pripade sa ignoruje nastavenie display_errors.
Computers are not intelligent. They only think they are.
23.8.2011 17:26 jos
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
mno to by bylo hustý, naštěstí to tak není (v errorlogu to samozřejmě skončí, ale o tom se tu nebavíme)

proto ta formulace This back trace will likely reveal ...
Luboš Doležel (Doli) avatar 23.8.2011 17:48 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Já jim to klidně zobrazím. Tajnosti tam nejsou a když už, tak mě může snadno odkázat na konkrétní chybu.
25.8.2011 14:34 Sten
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Od čeho potom máte logování?
23.8.2011 00:24 JoHnY2
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Skoro vsechno co uvadis jsou "implementacni detaily", ktery ve skutecnosti nehrajou u jiz rozsireny technologie prilis podstatnou roli, protoze uz davno existuje nadkriticky mnozstvi kodu v provozu. Ze je PHP peknej hnus vime vsichni, na to neni potreba doktorat. Bohate staci peklo jmenem charset a vsem je jasny, ze tohle ma k idelanimu stavu hodne daleko.
23.8.2011 09:38 ed | skóre: 18
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
matlab, resp. niektore jeho toolkity
23.8.2011 11:43 R
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
No ja napriklad pouzivam PHP ako neobjektovy skriptovaci jazyk a vyhovuje mi to.
22.8.2011 23:45 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin
Rád bych dodal, že na tento problém jsem upozorňoval již před patnácti, ano patnácti lety. V.K., dr. h. c.
Ještě na tom nejsem tak špatně, abych četl Viewegha.
Bedňa avatar 23.8.2011 08:18 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Na tento zápisok bolo použíté MD5 :)
KERNEL ULTRAS video channel >>>
22.8.2011 23:48 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin
No, Debian má konkurenci...
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
23.8.2011 00:15 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
sice je to trochu větší nářez, ale naštěstí 3 roky starý (ale málem mě to dostalo, než jsem si přečetl datum)
23.8.2011 11:46 R
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
To sice ano, ale tie kluce nachadzam dodnes...
23.8.2011 17:47 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Na druhou stranu PHP 5.3.7 v Debianu zrovna tuhle zranitelnost nemá, viz http://www.abclinuxu.cz/zpravicky/php-5.3.7#2

Prostě někdy je lepší den, někdy horší.

A co se týče té chyby v openssl, tak máslo na hlavě nemá jen správce balíku... tenkrát to psal do listu openssl a odbyli ho, tak tu změnu udělal. [Ale nechci obnovovat starý flejm...]
22.8.2011 23:55 l4m4
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin
Už se dosáhlo stavu, kdy oprava jedné chyby vede ke vzniku alespoň jedné další chyby? V tom případě mohou součansou verzi vývojáři PHP prohlásit za gold a jít se věnovat něčemu jinému...
yac avatar 23.8.2011 00:09 yac | skóre: 8 | blog: srckbin | Ostrava
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin
Odměnou za používání nejnovějšího PHP a MD5 saltu je přihlášení pro každého s každým heslem bez rozdílu!

Pokud by někoho zajímala chyba, je to jeden řádek. 
>>>>>>
strlcat(passwd, "$", 1);
------
strcat(passwd, "$");
<<<<<<
srck! Linux smrdí. Méně.
23.8.2011 03:14 nyan
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7

Tak mi napadlo, maji i funkci strlolcat ? ;)

23.8.2011 07:39 Alf | skóre: 18
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin

Koukněte se na unit testy, 201 selhání den před vydáním PHP 5.3.7. Koukněte se trochu podrobněji a test, který zkoumá crypt() s MD5 selhal.... Jen pro zajímavost :)

http://gcov.php.net/viewer.php?version=PHP_5_3&func=tests&file=ext%2Fstandard%2Ftests%2Fstrings%2Fcrypt.phpt

http://gcov.php.net/PHP_5_3/lcov_html/

Luboš Doležel (Doli) avatar 23.8.2011 07:44 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
PHP je jen špatný vtip. Nemůžu ani pořádně aktualizovat PHP na serveru, protože každá druhá aktualizace rozbije nějaký web. Kompatibilita neexistuje. Do konce roku bych rád všechno předělal do Javy.
23.8.2011 08:02 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Ale to je zas třeba přikoupit další GiB paměti a možná i procesory :-)
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
Luboš Doležel (Doli) avatar 23.8.2011 09:29 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Čoveče, oproti PHP? Vůbec ne. Zatímco Java žere víceméně konstantně, u PHP to roste lineárně s počtem současných požadavků. A PHP žere obecně docela dost.

A procesory? To je snad vtip. Oproti interpretovanému PHP je to násobně rychlejší.
23.8.2011 09:41 ed | skóre: 18
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
php samozrejme nie je interpretovane :) pouziva rovnako ako java VM, akurat nedisponuje JIT a preklad zo zdrojoveho kodu do bytekodu sa robi pri kazdom nacitani + je parser dvojprechodovy atd.
23.8.2011 10:38 hanzz | skóre: 19 | blog: hanzz
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
To, ze jazyk pouziva byte-code a VM neznamena, ze neni interpretovany.
23.8.2011 10:56 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Interpretující virtuální mašina je typicky výrazně rychlejší než interpret původního jazyka (AST walker, obvykle). Jenže když se do toho bajtkódu musí kompilovat pokaždé…
Ještě na tom nejsem tak špatně, abych četl Viewegha.
okbob avatar 23.8.2011 14:25 okbob | skóre: 30 | blog: systemakuv_blog | Benešov
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
No, a proč by měla? Pokud máte AST v cache, tak AST kód může být výrazně kratší - bude obsahovat méně instrukcí, a tudíž jeho provedení by mělo být rychlejší - jde jen o to, jak šikovně máte navržený AST.
Luboš Doležel (Doli) avatar 23.8.2011 11:03 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
To auto samozřejmě není nepojízdné, jen má ufouklá dvě kola, chybí mu výfuk a startovat se musí na kličku :-)
23.8.2011 11:32 jos
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
A: hele tak tady máš tu káru, vyjedeš s tim úplně všechno, můžeš s tim i do vody, spotřeba maličko vyšší

B: ale já nemam řidičák na tank
23.8.2011 11:05 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7

Vlákno bylo přesunuto do samostatné diskuse.

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
23.8.2011 17:03 Jirka | skóre: 36
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Jo, ale Java sežere konstantně všechno hned na začátku, takže s roustoucím počtem požadavků už není co dalšího sežrat. ;-)
23.8.2011 09:02 sidik
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Z bláta do louže :)
Luboš Doležel (Doli) avatar 23.8.2011 09:33 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Kompatibilita je tam dodržována prakticky dokonale. Nikdy jsem po upgradu neměl problém.
Bedňa avatar 23.8.2011 13:25 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Sú dva vývojové modely, jeden čo si doživotne nesie so sebou doživotne všetky neduhy a druhý, že čo je zlé sa odstráni a od PHP5 sa zaviedol práve tento smer. Cieľom má byť PHP6, kde už bude zbavené toho bordelu na ktorý sa dookola nadáva. V PHP6 nepôjde veľa webov, kým sa neprerobia funkcie, napríklad kedysi moja obľúbená ereg(i) tam už nebude a na tom zakapú všetky moje weby, okrem KU :)
KERNEL ULTRAS video channel >>>
23.8.2011 13:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Neříkalo se tohle už o PHP4 a PHP5?
Bedňa avatar 23.8.2011 14:18 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Pokiaľ viem, tak až od PHP5, sa začali robiť radikálne rezy a PHP6 už má byť bez safe mode obskurtnou prácou s reťazcami a podobných pí......
KERNEL ULTRAS video channel >>>
Luboš Doležel (Doli) avatar 23.8.2011 18:11 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Problém je v tom, že už jen přechod 5.2 -> 5.3 je noční můra. Děkuji, nechci.
Bedňa avatar 23.8.2011 19:38 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Je to daň za roky rýchlo aplikovaných nových funkcií, ktoré sa teraz odstraňujú. Bohužiaľ iná cesta nieje, pokiaľ má byť do budúcnosti PHP transparentným jazykom a nie zmesou funkcií, ktoré proste niekedy nefungujú správne. Debian stable a máš na dlhší čas pokoj ;-)
KERNEL ULTRAS video channel >>>
23.8.2011 09:32 Sten
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Už jsem si myslel, že žádné unit testy nemají a proto to prošlo, ale jestli vypustí jako stabilní verzi něco, co neprojde 201 unit testy, to je snad ještě horší než produkty od Microsoftu.
23.8.2011 21:51 Johny
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Co se tyka tech unit testu, tak nekde se jim to opravdu rozbilo, ale na spouste mist je to akorat nejaka zmena chybove hlasky nebo neco jineho:

http://gcov.php.net/viewer.php?version=PHP_5_3&func=tests&file=ext%2Fopenssl%2Ftests%2F001.phpt

4: /* stack up some entropy; performance is not critical,

5: * and being slow will most likely even help the test.

6: */

....

Output

Creating private key

** ERROR: process timed out **

:-D
23.8.2011 08:00 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin

Na zrcadlech se začíná objevovat verze 5.3.8. Jsem ji zkusil a našel chybu v phpinfo(). Před vlastní tabulkou se zobrazuje znak ">". Chybu jsem našel v SVN:
PUTS("<...>"); -> PUTS("<... xmlns=\"http://www.w3.org/1999/xhtml\">>");
Informoval jsem komunitu a popis chyby se následně objevil v php-internals diskusním listu. Bude to opraveno před oficiálním oznámením? :-)

Bedňa avatar 23.8.2011 09:01 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Šikula, ešte im pozri na crypt :-)
KERNEL ULTRAS video channel >>>
24.8.2011 01:32 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Opraveno. :)
24.8.2011 12:52 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Musím říct, že mě jako Debianího správce může dycky klepnout, když vidím:

This bug has been fixed in SVN.

Jak já bych potřeboval vědět číslo revize :(.
24.8.2011 12:57 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Ale vždyť k tomu bugu je ten commit navázaný…
Ještě na tom nejsem tak špatně, abych četl Viewegha.
24.8.2011 16:08 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Šmarjá, jsem slepý nebo je to nějaká novinka (což u mě může znamenat i několik let). Máte pravdu, děkuji za upozornění.
24.8.2011 13:36 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Přesně tohle mne napadlo už u toho prvního bugu s crypt().
23.8.2011 08:45 mmmmario
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin
Kdyby radši klucí napsali (nebo si nechali napsat) specifikaci jazyka a tu pak dali všem volně k použití. Určitě by se objevila kvalitnější implementace.
23.8.2011 09:39 l4m4
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Kdyby v tom klucí měli natolik jasno, aby jazyk mohli specifikovat, tak by se snad takhle neměnilo chování od verze k verzi...
23.8.2011 09:59 jos
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
http://code.roadsend.com/rphp
23.8.2011 10:51 Scarabeus IV | skóre: 20 | blog: blogisek_o_gentoo | Praha
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Posledni update pred 13 mesici, to nezni jako zrovna zdravy a zivy projekt.
23.8.2011 11:29 jos
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
hmmm, to ne no
23.8.2011 11:42 Anonymous
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Hlavnímu vývojáři se nechce pracovat samotnému, a tak vymýšlí nový jazyk.
Jendа avatar 23.8.2011 18:32 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
Odpovědět | Sbalit | Link | Blokovat | Admin
Přepsal jsem Bitcoin miner do PHP. Dává to 500 Mhash/s na Pentiu II, ale ještě to nenašlo ani jednu share.
Heron avatar 23.8.2011 18:37 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Vývojáři varují před upgradem na PHP 5.3.7
LOL :-D
Heron

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.