Mis à jour la semaine dernière, Wordpress et Joomla ont pris en compte les problèmes PHP liés à la génération de valeurs aléatoires des fonctions rand et mt_rand. Ces fonctions semblent en effet poser problème lorsque qu'elles sont utilisées dans un contexte cryptographique.

Tout commence le 17 août, jour où Stefan Esser du blog Suspekt, mettait en garde les utilisateurs de PHP4 sur l'utilisation de deux fonctions, rand et mt_rand. La première n'était qu'un wrapper autour de Libc, et la seconde une implémentation du générateur de nombre pseudo-aléatoire de Mersenne Twister. Sur son blog, il nous explique que les développeurs n'utilisent pas ces fonctions comme il le faudrait, et se mettrait en proie à des prédictions d'identifiant de session, de mot de passe, de clef d'activation, etc. Il conseille alors de passer à PHP5.

De leurs cotés, les systèmes de gestion de contenu (CMS) comme Joomla et Wordpress se sont empressés de mettre à jour leurs systèmes de génération cryptographique. Wordpress conseille donc de passer en version 2.6.2, corrigeant ces problèmes, mais aussi les problèmes liés à MySQL et son problème de troncature de colonne. Joomla quant a lui, est corrigé dans la version 1.5.7. Ces problèmes restent modérés, mais permettraient tout de même de récupérer des mots de passe, et de s'identifier comme administrateur. Les développeurs devront donc faire attention avec l'usage de ces fonctions !