Udviklere advarer: Vent med at opgradere til PHP 5.3.7

Illustration:
Der er en fejl i den nyeste version af PHP, så vent med at opgradere, lyder rådet fra PHP-udviklere. Fejlen skulle være rettet i løbet af få dage.

Skifter du til den nye PHP 5.3.7 nu, kan det give problemer.

Sådan lyder det i en advarsel på den officielle PHP-webside php.net, efter en fejl i krypterings-mekanismen blev opdaget i den nye version.

PHP 5.3.7 kom på gaden den 19. august, og advarslen mod at opgradere kom tre dage efter, mandag den 22. august. I stedet skal man vente på en ny opgradering, version 5.3.8, som kommer i løbet af få dage, meddeler PHP-holdet.

Fejlen, der har ramt den seneste version af PHP, betyder, at kryptering med MD5-algoritmen går galt. Funktionen crypt() skulle med MD5 kunne bruges til at omdanne for eksempel et password til en krypteret hash-værdi, med hjælp fra en tilfældig strimmel tal og bogstaver, et såkaldt salt.

Men i stedet for at returnere hele hash-værdien efter kryptering, vil PHP 5.3.7 kun levere salt-værdien som output.

Crypt-funktionen virker stadig fint med andre algoritmer som DES og Blowfish, rapporterer bug-listen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Brodersen

PHP har en testsuite, netop bestående af en efterhånden voldsom mængde gode unittests. Hver gang, jeg har indsendt bugrapporter, som har medført fejlrettelser, er der også blevet lavet tilhørende unittests for at tjekke imod regressions.

Hvorfor pokker, de så rent faktisk ikke har udført de unittests før release, er til gengæld virkelig et godt spørgsmål.

  • 2
  • 0
Peter Lind

Unittests er blevet kørt, men der er pt. en (relativt stor) del af dem der fejler, hvorfor de er blevet overset. Der er en god del diskussion om det på PHP dev listen lige pt (sammen med en del røde ører).

  • 2
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Skifter du til den nye PHP 5.3.7 nu, kan det give problemer. Sådan lyder det i en advarsel på den officielle PHP-webside php.net, efter en fejl i krypterings-mekanismen blev opdaget i den nye version. PHP 5.3.7 kom på gaden den 19. august, og advarslen mod at opgradere kom tre dage efter, mandag den
22. august. I stedet skal man vente på en ny opgradering, version 5.3.8, som kommer i løbet af få dage, meddeler PHP-holdet. Fejlen, der har ramt den seneste version af PHP, betyder, at kryptering med MD5-algoritmen går galt. Funktionen crypt() skulle med MD5 kunne bruges til at omdanne for eksempel et password til en krypteret hash-værdi, med hjælp fra en tilfældig strimmel tal og bogstave...