最近発覚したパスワードに関する重大な脆弱性4選 - ockeghem(徳丸浩)の日記

2011/08/29 24 users ockeghem 徳丸浩 ハッシュアルゴリズム パスワード

最近、パスワードにまつわる重大な脆弱性を見かけることが多いように思いますので、その中から4つを選んで紹介します。既に私のブログで紹介したものや、少し古い問題も含まれます。 PHP5.3.7のcrypt関数がハッシュ値を返さない脆弱性　crypt関数は、様々なハッシュアルゴリズムによるソルト化ハッシュを返す関数ですが、PHP5.3.7（2011年8月18日リリース）において、crypt関数にMD5を... 続きを読む

PHP5.3.7のcrypt関数のバグはこうしてリリースされた - <s>gnarl,</s>技術メモ”’<marquee><textarea>￥

2011/08/24 14 users crypt Marquee textarea gnarl パク

話題になってるこのバグ。徳丸浩の日記: PHP5.3.7のcrypt関数のバグはこうして生まれた「テストしろや」というのを真っ先に思いつくが、実はcryptのテスト自体は存在していて、バグの存在を検出していたのだという。では、にもかかわらず、なぜリリースされてしまったのか？上記記事にもリンクされてるが、関係者の人がGoogle+で説明していた。Rasmus Lerdorf - Google+ - ... 続きを読む

徳丸浩の日記: PHP5.3.7のcrypt関数のバグはこうして生まれた

2011/08/24 372 users Bug Twitter 徳丸浩 ブクマ パク

2011年8月24日水曜日 PHP5.3.7のcrypt関数のバグはこうして生まれた 昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリで... 続きを読む

徳丸浩の日記: PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)

2011/08/23 306 users Bug 徳丸浩 至急 回避策 事態

2011年8月23日火曜日 PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) PHP5.3.7のcrypt関数には致命的な脆弱性があります。最悪のケースでは、任意のパスワードでログインできてしまうという事態が発生します。該当する利用者は、至急、後述する回避策を実施することを推奨します。 概要 PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます（公式リ... 続きを読む