В функции шифрования в PHP обнаружена уязвимость

В функции шифрования в PHP обнаружена уязвимость

Создатели среды программирования PHP предупреждают веб-мастеров о том, чтобы они не спешили устанавливать последнюю версию, выпущенную на прошлой неделе. Как оказалось, в патче была допущена ошибка, которая может повлиять на корректность работы функции шифрования.

Дефект обнаружен в PHP 5.3.7 и касается функции «crypt()», используемой для хеширования текстовой строки. В случае применения этой команды совместно с алгоритмом шифрования MD5 и заданного salt- параметра, вместо ожидаемого результата функция будет возвращать только последовательность salt. При этом ошибка не проявляется в случае использования других алгоритмов DES или Blowfish.

Стоит отметить, что в этой версии программного обеспечения помимо прочих исправлена критическая ошибка, которая могла привести к переполнению буфера формированием слишком длиной salt- последовательности.

Во вчерашнем сообщении разработчики предупредили пользователей об ошибке и заверили, что следующий патч будет выпущен на днях. Однако для тех, кто не хочет ждать следующего релиза, исправления для этой ошибки уже доступны здесь и здесь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В американской Одессе грабители проследили жертву до дома с помощью AirTag

Полиция Флориды провела два ареста в связи с незаконным проникновением в дом супружеской пары, проживающей в г. Одесса. В деле фигурирует смарт-метка AirTag, которая использовалась для слежки с целью грабежа.

В ходе расследования по горячим следам преступления, совершенного в минувшем августе, детективы обнаружили прикрепленный к машине жертв трекер Bluetooth. Как и когда AirTag был там установлен, выяснить пока не удалось.

Найдя с его помощью жилище объектов слежки, домушники напали на них и затолкали в гараж. Однако обчистить коттедж злоумышленникам не удалось: сработала сигнализация, и им пришлось уносить ноги.

 

Производители трекинговых Bluetooth-устройств, а также разработчики Android и iOS, хорошо осведомлены о риске злоупотреблений и принимают меры противодействия слежке через IoT-гаджеты вроде AirTag.

Так, в прошлом году Google и Apple объявили о запуске кросс-платформенной функции DULT, которая предупреждает пользователя об обнаружении нежелательного трекера, а также помогает найти его по звуковому сигналу и отключить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru