Błąd dotyczył funkcji crypt(), która nieoczekiwanie zmieniła swój sposób działania. W przypadku stosowania algorytmu MD5 z użyciem salt, w wyniku jej wywołania zamiast hasha zwracała podany salt. Dzięki temu wszystkie ciągi kodowane w ten sposób były błędne. Problem nie występował przy użyciu algorytmów DES lub Blowfish.

PHP 5.3.8 jest pozbawione tego problemu, jednak wszyscy korzystający z MD5 do „poważnych zadań” powinni mieć się na baczności. Algorytm ten jest stary i w dzisiejszych czasach bardzo łatwy do złamania. Przechowywanie więc na przykład zakodowanych nim haseł jest dużym błędem. Wszyscy, którzy tak postępują, powinni jak najszybciej dokonać poprawek w swoich aplikacjach.

Dodatkowo w nowym wydaniu PHP naprawiono błąd powodujący zawieszenie się połączenia SSL w mysqlnd.

W nowej wersji dokonano aktualizacji crypt_blowfish do 1.2, Sqlite do 3.7.7.1 oraz PCRE do 8.12. Lista poprawionych błędów jest dość długa, pełną można znaleźć tutaj. Dotyczą one zarówno jądra języka, jak i wielu rozszerzeń.

Twórcy PHP przypominają, że wersja PHP 5.2 nie jest już wspierana i dlatego wszyscy z niej korzystający powinni jak najszybciej przejść na najnowsze wydanie.

W skrócie zmiany w nowej wersji są następujące:

• uaktualnienie wbudowanego Sqlite3 do wersji 3.7.4
• uaktualnienie wbudowanego PRCE do wersji 8.11
• poprawki w jądrze PHP
• poprawki w Zend Engine
• poprawki w wielu rozszerzeniach PHP

Pełną listę zmian można znaleźć tutaj.

Wszystkim, którzy nadal korzystają z PHP 5.2 zaleca się jak najszybciej przejść na gałąź 5.2. Poprzednia wersja nie będzie wspierana.

Dodatkowa uwaga dotyczy użytkowników PHP pod Windows. Biorąc pod uwagę, że Visiual Studio C++ 6 nie jest już obecnie wspierane, nowe wydania języka będą kompilowane w wersji 9.