2011年8月23日

[installer 2918] Re: PHP 5.3.7

(Fri, 19 Aug 2011 14:16:47 +0900 (JST))
Koga Youichirou <y-koga@xxxxx>:
> PHP 5.3.7 出ています。
>
> いつものように複数のセキュリティホールの修正が含まれています。

5.3.7 には crypt() 関数に重大なバグがあるため、数日後に出る予定の
5.3.8 を待つよう注意が出ています。


http://www.php.net/archive/2011.php#id2011-08-22-1 より:
BEGIN-----------------------------------------------------
5.3.7 upgrade warning
[22-Aug-2011]
Due to unfortunate issues with 5.3.7 (see bug#55439) users should wait
with upgrading until 5.3.8 will be released (expected in few days).
END-------------------------------------------------------

5.3.7 でエンバグした場所はココ。

diff -urNbB php-5.3.6/ext/standard/php_crypt_r.c php-5.3.7/ext/standard/php_crypt_r.c
--- php-5.3.6/ext/standard/php_crypt_r.c 2011-01-01 11:19:59.000000000 +0900
+++ php-5.3.7/ext/standard/php_crypt_r.c 2011-08-08 01:10:34.000000000 +0900
@@ -381,7 +382,7 @@
/* Now make the output string */
memcpy(passwd, MD5_MAGIC, MD5_MAGIC_LEN);
strlcpy(passwd + MD5_MAGIC_LEN, sp, sl + 1);
- strcat(passwd, "$");
+ strlcat(passwd, "$", 1);

PHP_MD5Final(final, &ctx);

(^^;
----
こがよういちろう


投稿者 xml-rpc : 2011年8月23日 09:26
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/105932
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。