Nul
Volgens de statistieken van W3Techs, ongeveer 78.9% van alle Internet sites vandaag de dag draaien op PHP.
Maar op 31 December 2018, beveiliging ondersteuning voor PHP 5.6.x officieel zal ophouden, de markering van het einde van alle ondersteuning voor elke versie van de oude PHP 5.x tak.
Dit betekent dat vanaf volgend jaar, ongeveer 62 procent van alle Internet sites nog actief een PHP 5.x-versie zal stoppen met het ontvangen van beveiligingsupdates voor hun server en de website van de onderliggende technologie, waardoor honderden miljoenen websites, als niet meer, tot ernstige veiligheidsrisico ‘ s.
Als een hacker vindt een lek in PHP na het Nieuwe Jaar, veel van de websites en de gebruikers in gevaar.
“Dit is een groot probleem voor de PHP-ecosysteem,” Scott Arciszewski, Chief Development Officer bij Paragon Initiatief Enterprise, vertelde ZDNet in een interview. “Terwijl velen het gevoel dat ze ‘weg’ met PHP 5 in 2019, de eenvoudigste manier om dit te beschrijven keuze is: Nalatigheid.”
“Om eerlijk te zijn volledig: Het is waarschijnlijk dat een grote massa-exploiteerbaar lek in PHP 5.6 zou ook van invloed op de nieuwere versies van PHP,” Arciszewski toegevoegd.
“PHP 7.2 krijgt een patch van het PHP team, gratis, tijdig; PHP 5.6 alleen als je betaalt voor permanente ondersteuning van uw OS leverancier.
“Als iemand zich met PHP 5 na het einde van het jaar, stel jezelf de vraag: voel je je gelukkig? Omdat ik zeker niet.”
De PHP-gemeenschap bekend van deze termijn voor een tijdje. Na het PHP-5.6 is een van de meest gebruikte PHP-versie terug in het voorjaar van 2017, PHP ontwikkelaars gerealiseerd zou het een ramp als ze gestopt beveiligingsupdates recht als PHP-5.6 is een van de meest populaire PHP-versie –zodat ze uitgebreid de EOL datum tot het einde van 2018.
Sindsdien zijn er verschillende ontwikkelaars en beveiligingsonderzoekers die waarschuwde over de “tikkende PHP tijdbom,” hoewel niet zo veel als infosec gemeenschap zou hebben gewenst.
Er is geen sprake van een gezamenlijke inspanning om mensen te bewegen naar de nieuwere PHP-7.x, maar een aantal website van content management systemen (CMS) projecten, één voor één, zijn begonnen met het wijzigen van minimale eisen, en gebruikers gewaarschuwd voor het gebruik van meer moderne hosting omgevingen.
Van de grote drie –WordPress, Joomla en Drupal– alleen Drupal heeft de officiële stap te passen zijn minimale vereisten voor de PHP-7, maar die beweging zal komen in Maart 2019. Ironisch genoeg, de 7.0.x tak heeft bereikt EOL op 3 December 2017, die eigenlijk niet op te lossen niets op, maar het is nog steeds een stap vooruit.
Joomla is een minimale eis blijft PHP 5.3, terwijl WordPress’ minimale eis blijft PHP 5.2.
“De grootste bron van inertie in de PHP-ecosysteem met betrekking versies is ongetwijfeld WordPress, die nog steeds weigert om drop ondersteuning voor PHP 5.2 want er zijn meer dan nul systemen in het universum dat nog steeds draaien van WordPress op een oude, niet-ondersteunde versie van PHP,” Arciszewski zei, het beschrijven van het WordPress team beruchte strongheadedness van het houden van de minimale eis aan een PHP-versie die ging EOL in 2011.
WordPress –die is gebruikt voor meer dan een kwart van alle websites op het Internet– zou, zonder twijfel, shift vele mensen het uitzicht op de noodzaak van het gebruik van PHP-versies als het project zou bewegen, zijn minimaal PHP eis van de nieuwere PHP-7.x tak.
“Wat PHP-versies, moet dit worden ondersteund door WordPress], echter, is een belangrijk debat voor enige tijd”, zegt Sean Murphy, Directeur van Threat Intelligence bij Uitdagend, het bedrijf achter de WordFence security plugin voor WordPress, in een e-mail uitwisseling met ZDNet.
“Er is een voortdurende initiatief van het WordPress team om gebruikers te waarschuwen wanneer ze een oudere versie van PHP en geef hen de informatie en tools die zij nodig hebben voor het aanvragen van een nieuwere versie van hun hosting provider,” voegde hij eraan toe. “Hier zijn de opmerkingen van dit team is de afgelopen vergadering.”
Murphy is van mening dat een van de grootste uitdagingen van de uitrol van PHP-versie-upgrades voor een groot aantal sites is de overstroming van support aanvragen die komen als een gevolg, een reden waarom veel CMS-projecten en web hosting providers terughoudend zijn en niet bereid om dit te doen.
Maar Murphy wijst er ook op dat “goede hosting providers” zal altijd in staat zijn om nieuwe gebruikers op nieuwe versies van PHP standaard, in plaats van dat klanten kiezen, en het bijwerken van bestaande klanten nieuwe versies van PHP alleen wanneer dat wordt gevraagd.
Maar als klanten weten dat hun versie van PHP heeft bereikt op het einde van hun levensduur, zeer weinigen zullen vragen om te worden verplaatst naar een nieuwere versie.
Hier is waar WordPress’ – meldingen voor gebruikers die sites op verouderde PHP versies zal komen om te helpen –om mensen te updaten hun server of vraag hun hosting provider voor een meer moderne hosting omgeving.
Terwijl sommige WordPress-beveiliging deskundigen zijn verontrust over de dreigende EOL voor de PHP-5.6-tak en de hele PHP 5.x, indirect, Murphy is niet een van hen.
“Een PHP kwetsbaarheid […] zou inderdaad erg slecht, maar is er nog geen een die ik ken van in de recente geschiedenis”, zei hij.
“Op basis van verleden PHP kwetsbaarheden, de dreiging is meestal met PHP-applicaties,” Murphy toegevoegd, wat suggereert dat de aanvallers zou waarschijnlijk blijven richten op de PHP-bibliotheken-en CMS-systemen.
Maar niet alle delen Murphy ‘ s mening. Bijvoorbeeld, Arciszewski is van mening dat PHP 5.6 en de oudere takken worden geprikt voor nieuwe kwetsbaarheden meer dan de gebruikelijke. Deze takken zijn nu EOL, zijn waanzinnig populair, en worden niet ondersteund-de perfecte voorwaarden van overvloedige doelen met de slechte beveiliging die trekking op aanvallers.
“Ja, dat is absoluut een risico factor” Arciszewski zei. “We zagen iets dergelijks gebeuren nadat Windows XP-ondersteuning was gevallen, en ik vermoed dat we zien hetzelfde gebeuren met de PHP 5 tak.
“Misschien is dat zal worden de noodzakelijke katalysator voor bedrijven om PHP 7 vaststelling serieus? Ik kan alleen maar hopen.”
En als de server-beheerders en website-eigenaren meer overtuigend, we eindigen dit artikel met dezelfde einde die Martin Wheatley gebruikt voor zijn “tikkende PHP tijdbom” stuk van de loop van de zomer.
Ja, het kost tijd en geld, maar wat erger is, een kleine maandelijkse ondersteuning van de betaling, of een kop “Site gehackt, duizenden gebruiker gegevens gestolen”, gevolgd door een boete van 20 miljoen euro of 4% van de omzet die onder de GDPR… ik weet wat ik zou liever betalen.
VERWANTE DEKKING:
Een mysterieuze grey-hat is het patchen van de mensen van de verouderde MikroTik routersIETF keurt nieuwe internet standards to secure authentication tokensHackers schending web hosting provider voor de tweede keer in het afgelopen jaardoor Apple om de host 2.000 gratis codering lessen in de Europese winkels CNETWaarom Kotlin explosief in populariteit onder jonge ontwikkelaars TechRepublicWeb hosting providers drie dagen duurt, gemiddeld, om te reageren op misbruikNa twee decennia van PHP, sites die nog steeds gevoelige informatie via de debug mode vanGoogle om niet langer Chrome extensies die gebruik obfuscated code
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO
0