• Tweet

El equipo de mantenimiento del lenguaje script PHP advierte a los usuarios sobre un grave problema de criptografía en la última versión y les aconseja no actualizar a PHP 5.3.7 hasta que el error sea resuelto.

PHP 5.3.7 acababa de liberarse la semana pasada y esa versión contenía ajustes para una serie de vulnerabilidades de seguridad. Pero ahora, se ha encontrado un defecto grave en esta nueva liberación que trata sobre la manera en que una de las funciones criptográficas maneja las entradas.

En algunos casos, cuando la función crypt() sea llamada usando cadenas agregadas MD5 (un Salt), la función regresará sólo el valor agregado de las cadenas (el valor Salt) en vez del valor cifrado de las cadenas agregadas (el valor hash de las cadenas Salt).

El problema no ocurre cuando se usa Blowfish o DES, solamente con MD5. El reporte inicial del bug sobre el problema en el sistema PHP apareció el 17 de agosto, un día antes del lanzamiento público de la versión estable de PHP 5.3.7.

“Si la función crypt() es ejecutada con Salts MD5, el valor regresado sólo consiste en el Salt. Los Salts de DES y Blowfish trabajan como conforme a lo esperado. Intenté con php desde el repositorio de openSUSE PHP5”, decía el reporte. Varios usuarios reprodujeron el problema sobre varias plataformas.

El grupo de PHP, el cual mantiene el lenguaje script, dijo en un reporte sobre el problema de la función crypt() que éste ha sido arreglado en la publicación de una construcción intermedia y planea liberar una nueva versión estable de PHP dentro de pocos días.

PHP es uno de los lenguajes script más usados y es también un vector de ataque frecuente para ataques basados en Web, al igual que otros populares lenguajes script. Dada su popularidad, las vulnerabilidades y ataques PHP pueden ser bastante graves y afectar potencialmente a millones de usuarios, Sin embargo, debido a que PHP 5.3.7 tiene pocos dias de haber sido liberado, es problable que muchos usuarios no lo hayan actualizado aún.

El equipo PHP liberó PHP 5.3.7 el 18 de agosto y la nueva version habia tenido arreglos para un buen numero de bugs, incluyendo 6 problemas de seguridad. Uno de los problemas que la version 5.3.7 arregló fue un problema en la funcion crypt(), pero fue un problema aislado al actual problema con los Salts.