Om 10 uger vil ca 62 procent af alle websider køre en ikke-supporteret PHP-version

Den meget populære PHP 5.x vil ikke modtage sikkerhedsopdateringer fra årets slutning.

/hm hm@version2.dk 8

Den 31. december 2018 er det officielt slut med sikkerhedsopdateringer til PHP 5.6.x, skriver Zdnet.

Illustration: Screendump/PHP - zdnet

Dermed vil de omkring 62 procent af alle internetsider, der stadig kører på en PHP 5.6.x-version, ikke længere modtage sikkerhedsopdateringer, hvilket potentielt kan gøre millioner af websites usikre.

Lykkes det en hacker at finde en sårbarhed i PHP efter nytår, vil mange websteder og dermed brugere være i fare.

»Det er et stort problem for PHP-økosystemet,« siger Scott Arciszewski, Chief Development Officer hos Paragon Initiative Enterprise, til ZDNet.

»Mange synes, at de kan 'slippe afsted' med at køre PHP 5 i 2019, men den simpleste måde at beskrive dette valg på er: ligegyldighed.«

Der har ifølge mediet ikke været en koordineret indsats for at få CMS-brugerne over på PHP 7.x, og kun Drupal har taget et officielt skridt til at tilpasse til den nye version - i marts 2019. Wordpress og Joomla lader stadig vente på dig.

Især Wordpress kritiseres for stædigt at holde fast i en PHP-version fra 2011.

»For at være helt fair: Det er sandsynligt, at enhver større mass-exploitable fejl i PHP 5.6 også vil påvirke de nyere versioner af PHP,« tilføjer Arciszewski.

Opgraderer man til PHP 7.2 får man gratis patches fra PHP-teamet, mens PHP 5.6 kun får patches, hvis du betaler for løbende support hos din OS-sælger.

Sean Murphy, direktør for Threat Intelligence hos Defiant , som står bag WordFence-sikkerhedsprogrammet til WordPress, mener, at en af ​​de største udfordringer i forhold til at få udbredt nyere PHP-versioner er frygt blandt CMS-og webhostingudbydere for en strøm af ​​supportanmodninger.

Men det er altså ikke et udtryk for best-practice, påpeger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Tobias Dedenroth

Vi har i vores hosting virksomhed valgt at tvinge kunderne op på PHP71. Det har vi gjort i små bider da der bestemt er mange 5.6 sider der breaker efter opgradering. Men de kan så downgrade midlertidig og få deres side rettet til inden vi helt deaktivere mulighed for at bruge 5.6 og 7.0 ved årsskiftet.

Vi har prøvet at informerer vores kunder om det i løbet af året, men oplevet ikke det store reaktion. Men at ens site breaker får folk til at reagerer. Og de fleste kunder kan bagefter godt forstå den lidt hårde fremgangsmåde er for deres eget bedste.
At køre med en PHP version uden updates på vores serverer er udelukket. Det er også en kæmpe bjørnetjeneste til kunderne.

Vi vil også hellere døje med løbende support i god ro og orden op til skiftet, end pludseligt at stå med et hav af kunder der alle har fået compromised deres wordpress installation efter de første exploits ser dagens lys næste år.

Troels Arvin

I artiklen står bl.a.: "Dermed vil vil de omkring 62 procent af alle internetsider, der stadig kører på en PHP 5.x-version, ikke længere modtage sikkerhedsopdateringer"

Det er noget vrøvl. Mange (de fleste?) PHP-installationer er del af grund-operativsystemet, dvs. følger med i fx Red Hat Enterprise Linux, CentOS, Ubuntu, etc. Og dér vil man fortsat modtage sikkerdhedsopdateringer til PHP 5 lang tid endnu, fordi distributøren sørger for at "back-port'e" evt. sikkerhedsrettelser.

Troels Arvin

Mikkel,

Jeg kender ikke detaljerne for alle distributioner, men jeg vil mene, at Red Hat bryder kontrakten, hvis de ikke sørger for at rette de sikkerhedsfejl, som bliver påvist i de PHP5-pakker, som er del af deres aktivt understøttede operativsystem-generationer (6 + 7). Det er jo bl.a. derfor, at de har ansat en hel del programmører.

Mig bekendt, er det også meget udbredt, at Debian pakker indeholder fixes, som Debian selv har tilføjet uden nødvendigvis at have fået dem leveret opstrøms fra.

Michael Bruun

Kun Drupal har taget et officielt skridt til at tilpasse til den nye version - i marts 2019. Wordpress og Joomla lader stadig vente på dig.

Især Wordpress kritiseres for stædigt at holde fast i en PHP-version fra 2011

Jeg forstår ikke, hvad der menes med dette. WP’s anbefalede PHP-version er 7.2, så hvorfor påstå, at de ikke har taget skridt til at tilpasse til den nye version?

Per Gøtterup

Det er noget vrøvl. Mange (de fleste?) PHP-installationer er del af grund-operativsystemet, dvs. følger med i fx Red Hat Enterprise Linux, CentOS, Ubuntu, etc. Og dér vil man fortsat modtage sikkerdhedsopdateringer til PHP 5 lang tid endnu, fordi distributøren sørger for at "back-port'e" evt. sikkerhedsrettelser.


Det er præcis problemet. Nogle distributioner vælger nemlig også at stoppe med opdateringer til deres ældre versioner, og så hænger folk på den forældede version af bl.a. PHP.

Så spørger man måske hvorfor folk ikke opgraderer deres distribution, og her er svaret ofte netop PHP, der stort set altid har haft den 'feature' at hver ny version IKKE er 100% bagudkompatibel med de forrige versioner, hvilket gør at man ikke 'bare' kan opgradere uden at efterlade en masse PHP-programmer i defekt tilstand. Og mange brugere med egenudviklede PHP-applikationer har simpelt hen ikke mulighed for at få tingene checket og opdateret så man vælger at blive hvor tingene virker - og så er der problemer.

Michael Bruun

Ganske som du siger. "anbefalet" så det er ikke et krav. Hvis de satte det som et krav vil det se anderledes ud.

Ifølge artiklen har WP ikke taget skridt til at tilpasse til den nye version. Men det har de jo gjort. WP understøtter (og anbefaler) PHP 7.2.

Jeg har svært ved at se, at man kan kritisere WP for, at deres produkt herudover stadig kan anvendes på PHP 5.2. Det er fint at have den mulighed, f.eks. hvis man kører legacy-tjenester på et lukket netværk. Og det bør da aldrig være en CMS-leverandør, der skal tage ansvaret for, om kundens bagvedliggende infrastruktur er optimal.

Log ind eller Opret konto for at kommentere

Hvis du bruger et af disse passwords, bør du skifte det ud nu

0

Databrud i Forsvaret har ramt over 3.000 medarbejdere

4

Nye sikkerhedshuller i wifi-kryptering: WPA3 kan lække passwords og kreditkort

0
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Webinar: Sådan får du overblik over dine Cisco-serviceaftaler
Whitepaper
Whitepaper
Sådan vælger du det bedste intranet
Webinar
Webinar
Lær hvordan din it-afdeling effektivt kan standardisere og automatisere processer i SMV'er
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder
Brugerundersøgelse Version2
maximize minimize