今天,PHP、OpenBSD 和 FreeBSD 社群宣布更新,以修補與其 crypt() 雜湊演算法相關的安全漏洞。 此問題在 CVE-2012-2143 中描述。 此漏洞也會影響少數 PostgreSQL 使用者,並將於 2012 年 6 月 4 日的更新版本中修復。
受影響的使用者是那些在選用的 pgcrypto 模組中使用具有 DES 加密的 crypt(text, text) 函數的人。 受影響的密碼是那些包含無法以 7 位元 ASCII 表示的字元的密碼。 如果密碼包含最高有效位元設置為 (0x80) 的字元,並且使用 DES 加密,則該字元及其後的所有字元都將被忽略。
建議無法等待更新的高安全性應用程式的使用者執行以下三件事之一:
請注意,由於雜湊演算法的變更,修補其安裝的使用者或於 6 月 4 日應用更新的使用者,可能需要為某些或所有應用程式使用者重新產生密碼。 具體而言,更新後,包含 0x80 的密碼將不再有效。
PostgreSQL 專案對給使用者造成的不便感到遺憾。 我們感謝安全研究人員 Robin Xu 和 Joseph Bonneau 發現此問題。
有關 pgcrypto 模組的更多資訊,請參閱文件。