https://www.opennet.ru/openforum/vsluhforumID3/80567.html Спустя несколько дней с момента выхода PHP 5.3.7 (http://www.opennet.ru/opennews/art.shtml?num=31537) доступен (http://www.php.net/archive/2011.php#id2011-08-23-1) корректирующий релиз PHP 5.3.8, в котором устранена серьёзная проблема безопасности, появившаяся в версии PHP 5.3.7 в результате некорректного исправления переполнения буфера в функции crypt(). Некорректное исправлением ошибки в функции crypt() привело (https://bugs.php.net/bug.php?id=55439) к тому, что при запуске с явным указанием salt, вместо хэша MD5 стало возвращаться только значение salt. Если какое-то приложение использовало crypt для нужд идентификации, то для пользователей хэш пароля у которых был создан в PHP 5.3.7, стал возможен вход с любым паролем. Проблема проявляется только для хэшей MD5 (используются по умолчанию) и не затрагивает хэши DES и BLOWFISH.<br><br><br>Дополнительно в коде, связанном с OpenSSL, возвращен старый код обработки таймаутов, используемый в версии PHP 5.3.6, так как в PHP 5.3.7 наблюдались обрывы SSL-соединений при испо https://www.opennet.ru/openforum/vsluhforumID3/80567.html#1 Sat, 01 Oct 2011 19:02:07 GMT &gt; Разработчики напоминают, что ветка PHP 5.2 больше не поддерживается и все находящиеся в ней уязвимости остаются неисправленными, <br><br>Бэкпортировал исправленные уязвимости в код PHP 5.2.17 (а патчи сделал человек который держит репозиторий centos.alt.ru)<br><br>Желающие пропатчить дырявый PHP 5.2.17 могут скачать либо патч безопасности, либо большой патч с багфиксами с http://code.google.com/p/php52-backports/<br><br>Также если есть толковые адекватные C++ программеры которые могут бэкпортить быстро фиксы из 5.3 в 5.2.17 и при этом ничего не ломать - то свяжитесь со мной (с этого проекта)<br>