作者 | Catalin Cimpanu
译者 | 薛命灯 按照 W3Techs 的数据统计,日前大概 78.9%的网站运用 PHP 研发。
然则,PHP 5.6.x 的安全支持将在 2018 年 12 月 31 日正式停止,这标志着对古老的 PHP 5.x 分支版本的支持都将结束。
亦便是说,从明年起始,大约 62%仍然运行在 PHP 5.x 上的网站将停止接收相关服务器和网站底层技术的安全更新,从而让这些数以亿计的网站暴露于严重的安全性危害之下。
倘若明年黑客发掘 PHP 中存在漏洞,非常多网站和用户都会面临危害。
Paragon Initiative Enterprise 首席研发官 Scott Arciszewski 在接受采访时告诉 ZDNet:“针对 PHP 生态系统来讲,这是一个巨大的问题。尽管非常多人认为她们能够在 2019 年弃用 PHP 5,但针对这种选取亦只能用一词来形容:疏忽”。
“不外,PHP 5.6 中的任何可被大规模利用的重点漏洞亦可能会影响新版本的 PHP”。
“PHP 7.2 将即时免费得到 PHP 团队供给的补丁,而倘若你想要得到 PHP 5.6 补丁,只能向你的操作系统供应商支付花费,以便得到连续支持”。
“倘若有人在年底之后仍然在运行 PHP 5,那样问问自己:你觉得自己很幸运吗?由于我肯定不会这么认为”。
PHP 社区早就晓得这个截止日期了。早在 PHP 5.6 作为 2017 年春季运用最广泛的 PHP 版本之后,PHP 守护人员就起始认识到,倘若她们在 PHP 5.6 作为最受欢迎的 PHP 版本时停止安全更新将会是一场劫难,因此她们将 EOL 日期延迟到了 2018 年底。
从那以后,有几位研发人员和安全科研人员起始警告会显现“滴答作响的 PHP 按时炸弹”,虽然无信息安全社区所期盼的那样多。
无一致的奋斗让人们转向更新的 PHP 7.x,但有些网站内容管理系统(CMS)项目已然起始修改最低需求,并警告用户运用更现代的托管环境。
在三大 PHP 网站(Word  ress、Joomla 和 Drupal)中,仅有 Drupal 已然正式将最低运行需求调节为 PHP 7,但这一措施要到 2019 年 3 月才发布。拥有讽刺寓意的是,7.0.x 分支版本在 2017 年 12 月 3 日就已达到了 EOL,因此实质上无处理任何问题,但仍然是向前迈进了一步。
Joomla 的最低运行需求是 PHP 5.3,而 WordPress 的最低运行需求仍然是 PHP 5.2。
在描述 WordPress 团队将最低运行需求保持在 2011 年就已达到 EOL 的 PHP版本时,Arciszewski 说:“PHP 生态系统中对版本最为迟钝的无疑是 WordPress,它仍然拒绝放弃支持 PHP 5.2,由于在这个世界上,仍然有系统在一个古老的、不受支持的 PHP 版本上运行 WordPress”。
倘若 WordPress 将最低运行需求换成较新的 PHP 7.x 分支版本,那样这个在互联网上有超过四分之一的网站在运用的系统毫无疑问会改变非常多人对运用现代 PHP 版本必要性的看法。
Defiant(WordPress 安全插件 WordFence 背面的机构)威胁情报总监 Sean Murphy 在与 ZDNet 的一封电子邮件中写道:“不外,WordPress 应该支持那些 PHP 版本已然经过一段时间的争论”。
他弥补说,“WordPress 团队正在采取办法,倘若用户运用旧版的 PHP,就通告用户,并向她们供给她们需要的信息和工具,从她们的托管服务供给商那里得到更新版本”。
Murphy 认为,为海量网站推出 PHP 版本更新的最大挑战之一是海量的支持请求,这亦是非常多 CMS 项目和网络托管服务供给商保持沉默和不愿意这般做的原由。
但 Murphy 还指出,“好的托管服务供给商”将始终默认为新用户供给新版本的 PHP,而不是让用户选取,并在用户提出请求时将现有客户端更新为新版本的 PHP。
但除非客户认识到她们的 PHP 版本已然达到 EOL,否则很少有人会需求迁移到新版本。
虽然有些 WordPress 安全专家对 PHP 5.6 分支和全部 PHP 5.x 到来的 EOL 感到震惊,但 Murphy 并不会这么想。
他说:“存在 PHP 漏洞确实非常糟糕,但近来并无显现我所晓得的漏洞”。
Murphy 认为攻击者可能会继续关注 PHP 库和 CMS 系统,“按照过去的 PHP 漏洞能够晓得,威胁重点来自 PHP 应用程序”。
但并非所有人都赞同墨菲的观点。例如,Arciszewski 认为,PHP 5.6 和较旧的分支版本比一般版本更易遭到攻击。这些分支版本此刻已然达到了 EOL,一方面非常流行,一方面却得不到支持——这为攻击者供给了绝佳的攻击机会。
Arciszewski 说:“是的,这绝对是一个危害原因。在 Windows XP 支持结束后,咱们亦看到类似的事情出现了,我可疑咱们会看到 PHP 5 出现一样的情况”。
“这可能是机构认真对待采用 PHP 7 的必要催化剂吗?我只能这么期盼”。
倘若服务器管理员和网站所有者需要具备更强说服力的说辞,那样请看 Martin Wheatley 在今年夏天的“滴答作响的 PHP 按时炸弹”一文中所做的结尾:
是的,它确实需要花费时间和金钱,可能需要每月支付少量花费。但更糟糕的可能是,显现“网站被黑,数千用户信息被盗”的头版资讯,而后面临 GDPR 高达 2000 万欧元或营业额 4%的罚款…我晓得我要选取哪一个。
英文原文 https://www.zdnet.com/article/around-62-of-all-internet-sites-will-run-an-unsupported-php-version-in-10-weeks/ 今日荐文点击下方照片就可阅读 
GitHub 发布史上最大更新,年度报告出炉!
由 InfoQ 主办的第四届 CNUTCon 全世界运维技术大会,全方位、多方向向参会者阐述智能运维时代的有那些变革,Twitter、RIOT Games、BAT、华为等国内外一线大厂有那些新技术和新实践。
日前,大会 8 折倒计时1星期,运用我的优惠【InfoQ】能够得到更加多优惠!扫描下方二维码或点击「阅读原文」认识,有任何问题欢迎咨询 Joy 小朋友,tel:13269078023(微X同号)。
| 
发表于 2024-10-4 12:59:56