Спустя несколько дней с момента выхода PHP 5.3.7 (http://www.opennet.me/opennews/art.shtml?num=31537) доступен (http://www.php.net/archive/2011.php#id2011-08-23-1) корректирующий релиз PHP 5.3.8, в котором устранена серьёзная проблема безопасности, появившаяся в версии PHP 5.3.7 в результате некорректного исправления переполнения буфера в функции crypt(). Некорректное исправлением ошибки в функции crypt() привело (https://bugs.php.net/bug.php?id=55439) к тому, что при запуске с явным указанием salt, вместо хэша MD5 стало возвращаться только значение salt. Если какое-то приложение использовало crypt для нужд идентификации, то для пользователей хэш пароля у которых был создан в PHP 5.3.7, стал возможен вход с любым паролем. Проблема проявляется только для хэшей MD5 (используются по умолчанию) и не затрагивает хэши DES и BLOWFISH.
Дополнительно в коде, связанном с OpenSSL, возвращен старый код обработки таймаутов, используемый в версии PHP 5.3.6, так как в PHP 5.3.7 наблюдались обрывы SSL-соединений при использовании mysqlnd.
URL: http://www.php.net/archive/2011.php#id2011-08-23-1
Новость: http://www.opennet.me/opennews/art.shtml?num=31570
> Разработчики напоминают, что ветка PHP 5.2 больше не поддерживается и все находящиеся в ней уязвимости остаются неисправленными,Бэкпортировал исправленные уязвимости в код PHP 5.2.17 (а патчи сделал человек который держит репозиторий centos.alt.ru)
Желающие пропатчить дырявый PHP 5.2.17 могут скачать либо патч безопасности, либо большой патч с багфиксами с http://code.google.com/p/php52-backports/
Также если есть толковые адекватные C++ программеры которые могут бэкпортить быстро фиксы из 5.3 в 5.2.17 и при этом ничего не ломать - то свяжитесь со мной (с этого проекта)