Fixed bug #15223: Password request hash in felogin is created with not enough randomn...
authorOliver Hader <oliver.hader@typo3.org>
Wed, 28 Jul 2010 09:13:36 +0000 (09:13 +0000)
committerOliver Hader <oliver.hader@typo3.org>
Wed, 28 Jul 2010 09:13:36 +0000 (09:13 +0000)
git-svn-id: https://svn.typo3.org/TYPO3v4/Core/trunk@8406 709f56b5-9817-0410-a4d7-c38de5d9e867

ChangeLog
typo3/sysext/felogin/pi1/class.tx_felogin_pi1.php

index dc0fa43..fa35abb 100755 (executable)
--- a/ChangeLog
+++ b/ChangeLog
@@ -20,6 +20,7 @@
        * Fixed bug #14389: phtml is also PHP extension and should be denied editing / uploading via fileadmin (thanks to Ernesto Baschny)
        * Follow-up to bug #14389: Added unit test
        * Fixed bug #1985: XSS vulnerability in wizard classes
+       * Fixed bug #15223: Password request hash in felogin is created with not enough randomness (thanks to Helmut Hummel)
 
 2010-07-27  Steffen Kamper  <steffen@typo3.org>
 
index 2db61d8..a4f5965 100644 (file)
@@ -335,7 +335,7 @@ class tx_felogin_pi1 extends tslib_pibase {
                $validEnd = time() + 3600 * $hours;
                $validEndString = date($this->conf['dateFormat'], $validEnd);
 
-               $hash =  md5(rand());
+               $hash = md5(t3lib_div::generateRandomBytes(64));
                $randHash = $validEnd . '|' . $hash;
                $randHashDB = $validEnd . '|' . md5($hash);