Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Od stycznia 2019 około 62% serwisów w Internecie będzie bez fixów security (PHP 5.x RIP)
Wsparcia dla PHP w wersji 5.x nie mamy od jakiegoś czasu, ale od 2019 roku nie będą pojawiać się łaty bezpieczeństwa:
Jakie mogą być tego konsekwencje? Najpoważniejszy problem to przypadek gdy pokaże się zdalnie wykorzystywana krytyczna podatność, dająca np. dostęp na poziomie systemu operacyjnego. Takie podatności (nie wymagające dodatkowych warunków) są jednak niezmiernie rzadkie. Inna możliwość to umieszczenie na serwerze własnego kodu PHP i dalej eskalacja do poziomu systemu operacyjnego (choć jeśli możemy uruchomić obcy kod PHP na serwerze to i bez dodatkowych błędów zazwyczaj dość łatwo dostać się na OS).
Trzecia, chyba najniebezpieczniejsza opcja, to znalezienie błędu w pewnym często wykorzystywanym komponencie (np. przetwarzanie uploadowanych plików, operacje na EXIF na plikach graficznych czy wysyłka maili. Możliwości jest tu naprawdę sporo!).
Pomyślcie więc nad planem aktualizacji żeby nie zostać z ręką w nocniku ;)
Przy dość niskiej popularności PHP 7.x (niemal 80% instalacji PHP-a to wersja 5.x!) oraz wysokiej popularności PHP jako takiego wygląda to… (nie)ciekawie.
–ms
Spora część tych instalacji PHP, to mniejsze i większe hostingi, w których jest kilka wersji PHP do wyboru i z reguły domyślnie włączona jest wersja najniższa. A w miarę jak dany hosting wycofuje kolejne przestarzałe wersje, wymusza automatycznie przejście na nową wersję klientom, którzy nie zrobili tego sami. Tak jest np. w Home.pl.
Więc się jeszcze może okazać, że te 80% się bardzo istotnie skurczy w ciągu raptem kilku-kilkunastu dni, jak się ludzie masowo skapną i zaczną przestawiać PHP na nowszą wersję, albo jak zrobią to same hostingi.