水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > cryptがsaltしか返さないバグ

cryptがsaltしか返さないバグ

2011年8月23日(火曜日)

cryptがsaltしか返さないバグ

公開: 2011年8月27日19時30分頃

こんな記事が出ています。

crypt関数がソルトしか返さない!? 文字通りの意味だとしたらとんでもない話ですが、

crypt()は文字列のハッシュ値を返す関数で、元の値に「salt(ソルト)」という乱数を付けた値のハッシュを生成する(ソルト付きハッシュ値)。しかしバージョン5.3.7でMD5アルゴリズムを利用した場合、crypt関数は肝心のハッシュ値なしでソルトのみを返す。従って、これをパスワード認証などに利用しているアプリケーションでは、最悪の場合、任意のパスワードでログインできてしまう可能性がある。

以上、crypt関数がソルトしか返さないバグ PHP 5.3.7に重大なセキュリティ問題、アップデートはちょっと待った より

そのまんま文字通りの意味でしたね。徳丸さんからも解説が出ています。

影響を受けるアプリケーション

crypt関数を用い、ハッシュアルゴリズムとしてMD5を指定しているアプリケーション。

環境にも依存しますが、デフォルトがMD5の場合もあります。筆者のテスト環境(CentOS5.6上のPHP5.1.6およびUbutu 10.04上のPHP5.3.7)では、デフォルトでMD5でした。

以上、PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) より

MD5の場合のみ影響を受けるということらしく、他のハッシュアルゴリズムなら大丈夫なようで。きょうびMD5なんて使わない……と言いたいところではありますが、そうも言っていられない場合もあるのでしょう。

これは明らかにPHPのバグで、すぐにアップデートされる予定のようですので、PHP5.3.8 のリリースを待ちましょう。

関連する話題: セキュリティ / PHP

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト