PR

 PHPコミュニティは2011年8月22日(世界標準時)、8月18日にリリースした最新版PHP 5.3.7にセキュリティホールが存在しするため、5.3.7へのアップグレードを行わないよう警告した。セキュリティホールを修正した5.3.8を近くリリースするとしている。

 セキュリティホールは、PHPのcrypt関数に存在する。HASHコンサルティングの徳丸浩氏は、パスワードのハッシュにcrypt関数を用い、ハッシュアルゴリズムとしてMD5を使用している場合、「最悪のケースでは『任意のパスワードで認証可能』という状況になる」と指摘している。対策としては、前バージョンの5.3.6に戻すか、即座にサービスを停止すべきとしている。

[5.3.7 upgrade warning : php.net]
[PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) : 徳丸浩の日記]