Den 31. december 2018 er det officielt slut med sikkerhedsopdateringer til PHP 5.6.x, skriver Zdnet.
Dermed vil de omkring 62 procent af alle internetsider, der stadig kører på en PHP 5.6.x-version, ikke længere modtage sikkerhedsopdateringer, hvilket potentielt kan gøre millioner af websites usikre.
Lykkes det en hacker at finde en sårbarhed i PHP efter nytår, vil mange websteder og dermed brugere være i fare.
»Det er et stort problem for PHP-økosystemet,« siger Scott Arciszewski, Chief Development Officer hos Paragon Initiative Enterprise, til ZDNet.
»Mange synes, at de kan 'slippe afsted' med at køre PHP 5 i 2019, men den simpleste måde at beskrive dette valg på er: ligegyldighed.«
Der har ifølge mediet ikke været en koordineret indsats for at få CMS-brugerne over på PHP 7.x, og kun Drupal har taget et officielt skridt til at tilpasse til den nye version - i marts 2019. Wordpress og Joomla lader stadig vente på dig.
Især Wordpress kritiseres for stædigt at holde fast i en PHP-version fra 2011.
»For at være helt fair: Det er sandsynligt, at enhver større mass-exploitable fejl i PHP 5.6 også vil påvirke de nyere versioner af PHP,« tilføjer Arciszewski.
Opgraderer man til PHP 7.2 får man gratis patches fra PHP-teamet, mens PHP 5.6 kun får patches, hvis du betaler for løbende support hos din OS-sælger.
Sean Murphy, direktør for Threat Intelligence hos Defiant , som står bag WordFence-sikkerhedsprogrammet til WordPress, mener, at en af de største udfordringer i forhold til at få udbredt nyere PHP-versioner er frygt blandt CMS-og webhostingudbydere for en strøm af supportanmodninger.
Men det er altså ikke et udtryk for best-practice, påpeger han.
Vi har i vores hosting virksomhed valgt at tvinge kunderne op på PHP71. Det har vi gjort i små bider da der bestemt er mange 5.6 sider der breaker efter opgradering. Men de kan så downgrade midlertidig og få deres side rettet til inden vi helt deaktivere mulighed for at bruge 5.6 og 7.0 ved årsskiftet.
Vi har prøvet at informerer vores kunder om det i løbet af året, men oplevet ikke det store reaktion. Men at ens site breaker får folk til at reagerer. Og de fleste kunder kan bagefter godt forstå den lidt hårde fremgangsmåde er for deres eget bedste.
At køre med en PHP version uden updates på vores serverer er udelukket. Det er også en kæmpe bjørnetjeneste til kunderne.
Vi vil også hellere døje med løbende support i god ro og orden op til skiftet, end pludseligt at stå med et hav af kunder der alle har fået compromised deres wordpress installation efter de første exploits ser dagens lys næste år.
I artiklen står bl.a.: "Dermed vil vil de omkring 62 procent af alle internetsider, der stadig kører på en PHP 5.x-version, ikke længere modtage sikkerhedsopdateringer"
Det er noget vrøvl. Mange (de fleste?) PHP-installationer er del af grund-operativsystemet, dvs. følger med i fx Red Hat Enterprise Linux, CentOS, Ubuntu, etc. Og dér vil man fortsat modtage sikkerdhedsopdateringer til PHP 5 lang tid endnu, fordi distributøren sørger for at "back-port'e" evt. sikkerhedsrettelser.
Debian, ubuntu mv. backporter normalvis rettelser de får fra leverandører. Så hvis php ikke udgiver sikkerhedsrettelser, er der ikke noget at backporte. De kan derfor blive nødt tilat fjerne support til php5 også.
Mikkel,
Jeg kender ikke detaljerne for alle distributioner, men jeg vil mene, at Red Hat bryder kontrakten, hvis de ikke sørger for at rette de sikkerhedsfejl, som bliver påvist i de PHP5-pakker, som er del af deres aktivt understøttede operativsystem-generationer (6 + 7). Det er jo bl.a. derfor, at de har ansat en hel del programmører.
Mig bekendt, er det også meget udbredt, at Debian pakker indeholder fixes, som Debian selv har tilføjet uden nødvendigvis at have fået dem leveret opstrøms fra.
Jeg forstår ikke, hvad der menes med dette. WP’s anbefalede PHP-version er 7.2, så hvorfor påstå, at de ikke har taget skridt til at tilpasse til den nye version?
Ganske som du siger. "anbefalet" så det er ikke et krav. Hvis de satte det som et krav vil det se anderledes ud.
Det er præcis problemet. Nogle distributioner vælger nemlig også at stoppe med opdateringer til deres ældre versioner, og så hænger folk på den forældede version af bl.a. PHP.
Så spørger man måske hvorfor folk ikke opgraderer deres distribution, og her er svaret ofte netop PHP, der stort set altid har haft den 'feature' at hver ny version IKKE er 100% bagudkompatibel med de forrige versioner, hvilket gør at man ikke 'bare' kan opgradere uden at efterlade en masse PHP-programmer i defekt tilstand. Og mange brugere med egenudviklede PHP-applikationer har simpelt hen ikke mulighed for at få tingene checket og opdateret så man vælger at blive hvor tingene virker - og så er der problemer.
Ifølge artiklen har WP ikke taget skridt til at tilpasse til den nye version. Men det har de jo gjort. WP understøtter (og anbefaler) PHP 7.2.
Jeg har svært ved at se, at man kan kritisere WP for, at deres produkt herudover stadig kan anvendes på PHP 5.2. Det er fint at have den mulighed, f.eks. hvis man kører legacy-tjenester på et lukket netværk. Og det bør da aldrig være en CMS-leverandør, der skal tage ansvaret for, om kundens bagvedliggende infrastruktur er optimal.