作者 | Catalin Cimpanu
译者 | 薛命灯
根据 W3Techs 的数据统计,目前约有 78.9%的网站使用 PHP 开发。
但是,PHP 5.6.x 的安全支持将在 2018 年 12 月 31 日正式停止,这标志着对古老的 PHP 5.x 分支版本的支持都将结束。
也就是说,从明年开始,大约 62%仍然运行在 PHP 5.x 上的网站将停止接收有关服务器和网站底层技术的安全更新,从而让这些数以亿计的网站暴露于严重的安全性风险之下。
如果明年黑客发现 PHP 中存在漏洞,很多网站和用户都会面临风险。
Paragon Initiative Enterprise 首席开发官 Scott Arciszewski 在接受采访时告诉 ZDNet:“对于 PHP 生态系统来说,这是一个巨大的问题。尽管很多人认为他们可以在 2019 年弃用 PHP 5,但对于这种选择也只能用一词来形容:疏忽”。
“不过,PHP 5.6 中的任何可被大规模利用的主要漏洞也可能会影响新版本的 PHP”。
“PHP 7.2 将及时免费获得 PHP 团队提供的补丁,而如果你想要获得 PHP 5.6 补丁,只能向你的操作系统供应商支付费用,以便获得持续支持”。
“如果有人在年底之后仍然在运行 PHP 5,那么问问自己:你觉得自己很幸运吗?因为我肯定不会这么认为”。
PHP 社区早就知道这个截止日期了。早在 PHP 5.6 成为 2017 年春季使用最广泛的 PHP 版本之后,PHP 维护人员就开始意识到,如果他们在 PHP 5.6 成为最受欢迎的 PHP 版本时停止安全更新将会是一场灾难,所以他们将 EOL 日期延迟到了 2018 年底。
从那以后,有几位开发人员和安全研究人员开始警告会出现“滴答作响的 PHP 定时炸弹”,虽然没有信息安全社区所希望的那么多。
没有一致的努力让人们转向更新的 PHP 7.x,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并警告用户使用更现代的托管环境。
在三大 PHP 网站(WressPress、Joomla 和 Drupal)中,只有 Drupal 已经正式将最低运行要求调整为 PHP 7,但这一举措要到 2019 年 3 月才发布。具有讽刺意味的是,7.0.x 分支版本在 2017 年 12 月 3 日就已达到了 EOL,所以实际上没有解决任何问题,但仍然是向前迈进了一步。
Joomla 的最低运行要求是 PHP 5.3,而 WordPress 的最低运行要求仍然是 PHP 5.2。
在描述 WordPress 团队将最低运行要求保持在 2011 年就已达到 EOL 的 PHP版本时,Arciszewski 说:“PHP 生态系统中对版本最为迟钝的无疑是 WordPress,它仍然拒绝放弃支持 PHP 5.2,因为在这个世界上,仍然有系统在一个古老的、不受支持的 PHP 版本上运行 WordPress”。
如果 WordPress 将最低运行要求换成较新的 PHP 7.x 分支版本,那么这个在互联网上有超过四分之一的网站在使用的系统毫无疑问会改变很多人对使用现代 PHP 版本必要性的看法。
Defiant(WordPress 安全插件 WordFence 背后的公司)威胁情报总监 Sean Murphy 在与 ZDNet 的一封电子邮件中写道:“不过,WordPress 应该支持哪些 PHP 版本已经经过一段时间的争论”。
他补充说,“WordPress 团队正在采取措施,如果用户使用旧版的 PHP,就通知用户,并向他们提供他们需要的信息和工具,从他们的托管服务提供商那里获得更新版本”。
Murphy 认为,为大量网站推出 PHP 版本更新的最大挑战之一是大量的支持请求,这也是很多 CMS 项目和网络托管服务提供商保持沉默和不愿意这样做的原因。
但 Murphy 还指出,“好的托管服务提供商”将始终默认为新用户提供新版本的 PHP,而不是让用户选择,并在用户提出请求时将现有客户端更新为新版本的 PHP。
但除非客户意识到他们的 PHP 版本已经达到 EOL,否则很少有人会要求迁移到新版本。
虽然一些 WordPress 安全专家对 PHP 5.6 分支和整个 PHP 5.x 到来的 EOL 感到震惊,但 Murphy 并不会这么想。
他说:“存在 PHP 漏洞确实非常糟糕,但近来并没有出现我所知道的漏洞”。
Murphy 认为攻击者可能会继续关注 PHP 库和 CMS 系统,“根据过去的 PHP 漏洞可以知道,威胁主要来自 PHP 应用程序”。
但并非所有人都赞同墨菲的观点。例如,Arciszewski 认为,PHP 5.6 和较旧的分支版本比通常版本更容易遭到攻击。这些分支版本现在已经达到了 EOL,一方面非常流行,一方面却得不到支持——这为攻击者提供了绝佳的攻击机会。
Arciszewski 说:“是的,这绝对是一个风险因素。在 Windows XP 支持结束后,我们也看到类似的事情发生了,我怀疑我们会看到 PHP 5 发生同样的情况”。
“这可能是公司认真对待采用 PHP 7 的必要催化剂吗?我只能这么希望”。
如果服务器管理员和网站所有者需要具备更强说服力的说辞,那么请看 Martin Wheatley 在今年夏天的“滴答作响的 PHP 定时炸弹”一文中所做的结尾:
是的,它确实需要花费时间和金钱,可能需要每月支付少量费用。但更糟糕的可能是,出现“网站被黑,数千用户信息被盗”的头版新闻,然后面临 GDPR 高达 2000 万欧元或营业额 4%的罚款…我知道我要选择哪一个。 英文原文
/