据了解,W3Techs发布的统计数据表明,目前所有互联网站点中约有78.9%使用PHP。但是在2018年12月31日之后,PHP 5.6.x的安全支持将正式停止,这标志着对之前任何版本的PHP 5.x分支的所有支持将会终止。
也就是说,从明年开始,大约62%仍在运行PHP 5.x版本的Internet站点将停止接收其服务器和网站底层技术的安全更新,从而使数以亿计的网站面临严重的安全性风险。如果黑客在新年之后发现PHP中存在漏洞,很多网站和用户都会面临着严重的安全危机。
Paragon Initiative Enterprise的首席开发官Scott Arciszewski 在接受采访时表示,
对于PHP生态系统来说,这是一个巨大的问题。许多人认为他们可以'侥幸'在2019年继续运行PHP 5,而这其实是一种安全工作上的刻意疏忽。
Arciszewski补充道,
确切地说,PHP 5.6中的任何主要的、可大规模利用的漏洞都可能会影响新版本的PHP。PHP 7.2可以及时地从PHP团队免费获得一个补丁程序,而PHP 5.6获得补丁程序的前提条件是,你要为来自OS供应商的持续支持付费。如果有人在年底之后运行的仍然是PHP 5,那就要引起警觉了。
PHP社区计划这个截止日期已经有一段时间了。在PHP 5.6成为2017年春季使用最广泛的PHP版本之后,PHP维护人员意识到,如果他们在PHP 5.6成为最受欢迎的PHP版本时停止安全更新,这将会是一场灾难,所以他们将EOL日期延长到了2018年底。
从那以后,有几位开发人员和安全研究人员发出了警告,并称之为“滴答作响的PHP定时炸弹”——虽然这些警告并没有信息安全社区所希望的那么多。
人们好像还没有做好准备转向更新的PHP 7.x,但一些网站内容管理系统(content management systems,CMS)项目已经开始修改最低要求,并警告用户使用更现代的托管环境。
在三大巨头——WordPress、Joomla和Drupal中,只有Drupal正式将其最低要求调整到PHP 7,这一举措将在2019年3月到来。具有讽刺意味的是,7.0.x分支机构在2017年12月3日已经到达EOL,虽然这实际上并没有解决任何问题,但它仍然是向前迈出的一步。
Joomla的最低要求仍然是PHP 5.3,而WordPress的最低要求仍然是PHP 5.2。
Arciszewski说:
PHP生态系统中关于版本的最大惯性来源无疑是WordPress,它拒绝放弃对PHP 5.2的支持,因为仍然有系统运行在老旧的、不受支持的PHP版本上。
他描述了WordPress团队让人诟病的一个举动——将最低要求保持在2011年已经推出了EOL的PHP版本上。
互联网上超过四分之一的网站都使用WordPress,所以,如果项目将其最低PHP需求转移到更新的PHP 7.x分支上,那么无疑会改变很多人对更新PHP版本必要性的看法。
“然而,WordPress应该支持哪些PHP版本已经争论一段时间了。” Threat Intelligence at Defiant(WordPress的WordFence安全插件背后的公司)总监Sean Murphy说道。
他还补充说:“WordPress团队正在采取措施,在用户使用旧版PHP时通知他们,并向他们提供从托管服务提供商处申请更新版本所需的信息和工具。”这是这个小组最近的会议记录。
Murphy认为,向大量网站推出PHP版本升级的最大挑战之一是随之而来的大量支持请求,这也是许多CMS项目和网络托管提供商保持缄默、不愿意这么做的原因。
但Murphy也指出,
好的托管服务提供商将始终默认在新版本的PHP上部署新用户,而不是让客户选择、并且仅在请求时才将现有客户端更新为新版本的PHP。但事实是,除非客户意识到他们的PHP版本已经达到使用寿命,否则很少有人会要求将其转移到新的版本。
对于在不受保护的PHP版本上运行网站的用户而言,WordPress的通知将在这里提供帮助——让人们更新他们的服务器,或要求他们的托管服务提供商提供更好的托管环境。
一些WordPress安全专家对PHP 5.6分支和整个PHP 5.x的即将发生的EOL感到震惊,Murphy显然并不是其中之一。
Murphy说道:“PHP漏洞确实会非常糟糕,但在最近我还没听说有发现任何一个。”
Murphy补充说,“从过去的PHP漏洞来看,主要的威胁来自PHP应用程序。这表明攻击者可能会继续关注PHP库和CMS系统。”
但并非所有人都赞同Murphy的观点。比如说,Arciszewski认为,PHP 5.6和较旧的分支机构将比通常情况下更容易发现漏洞。这些分支现在已经是EOL了,非常受欢迎,并且是不受支持的,然而大量的良好条件和糟糕的安全性吸引了攻击者。
Arciszewski说,这绝对是一个风险因素,在Windows XP支持被删除后,我们看到类似的事情发生了,我怀疑PHP 5分支会发生同样的情况。
如果服务器管理员和网站所有者需要更有说服力的论证,那么我将以Martin Wheatley在《ticking PHP time bomb(滴答作响的PHP定时炸弹)》一文中使用的结尾来结束这篇文章。
是的,它确实需要花费时间和金钱,但更糟糕的是,要么每月支付少量的支持费,要么出现标题为“网站黑客,数千用户信息被盗”的新闻,然后根据GDPR罚款2000万欧元或是营业额的4%……我知道我宁愿付钱。
