Khoảng 62 phần trăm của tất cả các trang web Internet sẽ chạy phiên bản PHP không được hỗ trợ trong 10 tuần
|
Tuy nhiên, hỗ trợ bảo mật cho PHP 5. 6 kết thúc vào ngày 31 tháng 12 năm 2018. Tất cả hỗ trợ cho phiên bản PHP 5 lỗi thời sẽ chính thức kết thúc với sự sụp đổ của nhánh x Show Điều này cho thấy rằng bắt đầu từ năm 2019, khoảng 62% tất cả các trang web trên Internet vẫn đang sử dụng PHP 5. x sẽ ngừng nhận các bản cập nhật bảo mật cho máy chủ và công nghệ cơ bản của trang web, khiến hàng trăm triệu, nếu không muốn nói là nhiều hơn, các trang web gặp rủi ro nghiêm trọng do lỗi bảo mật Hàng loạt website và người dùng gặp rủi ro nếu hacker phát hiện lỗ hổng PHP sau Tết Scott Arciszewski, Giám đốc phát triển tại Paragon Initiative Enterprise cho biết: “Mặc dù nhiều người tin rằng họ có thể 'thoát khỏi' việc chạy PHP 5 vào năm 2019, nhưng cách đơn giản nhất để mô tả quyết định này là "một thảm họa đối với hệ sinh thái PHP". Không lo. " Thành thật mà nói, có vẻ như bất kỳ bug6 đáng kể, có thể khai thác rộng rãi nào của PHP 5 cũng sẽ có tác động đến các phiên bản gần đây hơn của PHP, Arciszewski cho biết "PHP7". 2 sẽ nhận được bản vá từ nhóm PHP kịp thời và miễn phí; Nếu bạn trả tiền cho nhà cung cấp hệ điều hành của mình để được hỗ trợ liên tục, bạn sẽ chỉ nhận được một bản vá "Nếu bất cứ ai thấy mình sử dụng PHP 5 sau khi hết năm, hãy cân nhắc xem bạn có cảm thấy may mắn không. " Thời hạn này đã được cộng đồng PHP biết đến một thời gian. Khi phiên bản PHP 6 vượt qua PHP 5 để trở thành phiên bản PHP phổ biến nhất vào mùa xuân năm 2017, những người bảo trì PHP đã nhận ra rằng việc ngừng cung cấp các bản cập nhật bảo mật vào thời điểm đó sẽ là một thảm họa. Do đó, họ đã gia hạn ngày EOL đến cuối năm 2018 Kể từ đó, một số lập trình viên và nhà nghiên cứu bảo mật đã bày tỏ lo ngại về "quả bom hẹn giờ PHP", mặc dù không thường xuyên như cộng đồng infosec mong muốn. Mặc dù chưa có chiến dịch phối hợp để thuyết phục mọi người nâng cấp lên PHP 7. x, một số dự án hệ thống quản lý nội dung trang web (CMS) đã bắt đầu thay đổi dần các yêu cầu tối thiểu và khuyên người dùng sử dụng các môi trường lưu trữ cập nhật hơn Chỉ Drupal, trong số ba công ty lớn -- WordPress, Joomla và Drupal -- đã thực hiện bước chính thức để thay đổi các yêu cầu tối thiểu của mình thành PHP 7, nhưng thay đổi đó sẽ không diễn ra cho đến tháng 3 năm 2019. Vào ngày 3 tháng 12 năm 2017, số 0. nhánh x đã hết tuổi thọ, điều này không thực sự giải quyết được gì nhưng dù sao cũng là một sự phát triển tích cực Yêu cầu tối thiểu của WordPress vẫn là PHP 5, trong khi yêu cầu tối thiểu của Joomla vẫn là PHP 5. 2 Theo Arciszewski, "nguồn quán tính lớn nhất trong hệ sinh thái PHP liên quan đến các phiên bản chắc chắn là WordPress, vốn vẫn từ chối bỏ hỗ trợ cho PHP 5. 2 mặc dù thực tế là có ít hơn một hệ thống duy nhất vẫn chạy WordPress trên phiên bản PHP lỗi thời, không được hỗ trợ. " Điều này là do sự ngoan cố khét tiếng của nhóm WordPress trong việc duy trì yêu cầu tối thiểu của nó ở phiên bản PHP đã chuyển sang EOL vào năm 2011 Nếu dự án chuyển yêu cầu PHP tối thiểu sang. x, rất nhiều ý kiến của mọi người về nhu cầu sử dụng các phiên bản PHP hiện đại chắc chắn sẽ thay đổi. WordPress chiếm hơn 25% tất cả các trang web trên Internet Tuy nhiên, đã có một cuộc thảo luận đáng kể về phiên bản PHP nào mà WordPress nên hỗ trợ trong một thời gian, theo Sean Murphy, Giám đốc Threat Intelligence tại Defiant, tổ chức đã tạo ra plugin bảo mật WordFence cho WordPress Đây là những ghi chú từ cuộc họp gần đây nhất của đội này, anh ấy tiếp tục. "Nhóm WordPress đang có sáng kiến thông báo cho người dùng khi họ đang sử dụng phiên bản cũ của PHP và cung cấp cho họ thông tin cũng như công cụ họ cần để yêu cầu phiên bản mới hơn từ nhà cung cấp dịch vụ lưu trữ của họ. " Murphy đưa ra một trong những trở ngại lớn nhất đối với việc nâng cấp phiên bản PHP cho nhiều trang web, dẫn đến vô số yêu cầu hỗ trợ. Do đó, nhiều dự án CMS không muốn làm điều này Tuy nhiên, Murphy cũng lưu ý rằng "các nhà cung cấp dịch vụ lưu trữ tốt" sẽ không bao giờ cho phép khách hàng lựa chọn khi họ triển khai người dùng mới trên các phiên bản PHP mới và sẽ chỉ cập nhật các máy khách hiện tại lên phiên bản PHP mới theo yêu cầu. Nhưng rất ít khách hàng sẽ yêu cầu chuyển sang phiên bản mới hơn trừ khi họ được thông báo rằng phiên bản PHP của họ đã hết hạn sử dụng Thông báo của WordPress dành cho người dùng đang chạy trang web trên các phiên bản PHP lỗi thời sẽ hữu ích trong tình huống này, buộc người dùng phải cập nhật máy chủ của họ hoặc yêu cầu môi trường lưu trữ hiện đại hơn từ nhà cung cấp của họ EOL sắp tới cho PHP 5. 6 nhánh và toàn bộ ngôn ngữ PHP 5 có một số chuyên gia bảo mật WordPress lo ngại. Murphy không phải là một trong số họ (x, không phải) Anh ấy nói, "Lỗ hổng PHP [. ] thực sự sẽ rất tệ, nhưng tôi không biết bất kỳ điều gì trong ký ức gần đây. " Murphy tiếp tục nói rằng, "Dựa trên các lỗ hổng PHP trước đây, mối đe dọa chủ yếu là với các ứng dụng PHP" và những kẻ tấn công có thể sẽ tiếp tục tập trung vào các thư viện PHP và hệ thống CMS Ngoài ra, SMB là mục tiêu của gần một nửa số cuộc tấn công mạng; Tuy nhiên, không phải ai cũng đồng tình với quan điểm của Murphy. Hãy xem suy nghĩ của Arciszewski về PHP 5Vì chúng hiện là EOL, cực kỳ phổ biến và không được hỗ trợ, 6 và các nhánh cũ hơn sẽ được thăm dò để tìm các lỗ hổng mới thường xuyên hơn bình thường -- điều kiện lý tưởng cho nhiều mục tiêu có bảo mật kém thu hút kẻ tấn công Chúng tôi đã thấy điều gì đó tương tự xảy ra sau khi hỗ trợ Windows XP bị loại bỏ và tôi nghi ngờ rằng chúng ta sẽ thấy điều tương tự xảy ra với nhánh PHP 5, vì vậy vâng, đó chắc chắn là một yếu tố rủi ro," Arciszewski nói Tôi chỉ có thể hy vọng rằng nó sẽ đóng vai trò là chất xúc tác cần thiết để khuyến khích các doanh nghiệp áp dụng PHP 7 Chúng tôi sẽ kết thúc bài viết này với cùng một lập luận mà Martin Wheatley đã đưa ra trong bài viết của anh ấy từ đầu mùa hè này về "quả bom hẹn giờ PHP" nếu quản trị viên máy chủ và chủ sở hữu trang web vẫn cần thuyết phục. Nhưng vào ngày 31 tháng 12 năm 2018, hỗ trợ bảo mật cho PHP 5. 6. x sẽ chính thức ngừng hoạt động, đánh dấu sự kết thúc của mọi hỗ trợ cho bất kỳ phiên bản nào của PHP 5 cổ đại. chi nhánh x Điều này có nghĩa là bắt đầu từ năm tới, khoảng 62 phần trăm của tất cả các trang web trên Internet vẫn đang chạy PHP 5. x sẽ ngừng nhận các bản cập nhật bảo mật cho máy chủ và công nghệ cơ bản của trang web, khiến hàng trăm triệu trang web, nếu không muốn nói là nhiều hơn, gặp rủi ro bảo mật nghiêm trọng Nếu tin tặc tìm thấy lỗ hổng trong PHP sau Tết, rất nhiều trang web và người dùng sẽ gặp rủi ro "Đây là một vấn đề lớn đối với hệ sinh thái PHP," Scott Arciszewski, Giám đốc phát triển tại Paragon Initiative Enterprise, nói với ZDNet trong một cuộc phỏng vấn. "Mặc dù nhiều người cảm thấy rằng họ có thể 'bỏ qua' việc chạy PHP 5 vào năm 2019, cách đơn giản nhất để mô tả lựa chọn này là. Không lo. " “Hoàn toàn công bằng. Có khả năng là bất kỳ lỗ hổng lớn, có thể khai thác hàng loạt nào trong PHP 5. 6 cũng sẽ ảnh hưởng đến các phiên bản PHP mới hơn," Arciszewski nói thêm "PHP7. 2 sẽ nhận được một bản vá miễn phí từ nhóm PHP một cách kịp thời; . 6 sẽ chỉ nhận được một nếu bạn đang trả tiền để được hỗ trợ liên tục từ nhà cung cấp hệ điều hành của mình "Nếu bất cứ ai thấy mình chạy PHP 5 sau cuối năm, hãy tự hỏi. Bạn có cảm thấy may mắn không? . " Cộng đồng PHP đã biết về thời hạn này từ khá lâu. Sau PHP5. 6 đã trở thành phiên bản PHP được sử dụng rộng rãi nhất vào mùa xuân năm 2017, những người bảo trì PHP nhận ra rằng sẽ là một thảm họa nếu họ ngừng cập nhật bảo mật ngay khi PHP 5. 6 đã trở thành phiên bản PHP phổ biến nhất --vì vậy họ đã gia hạn ngày EOL đến cuối năm 2018 Kể từ đó, đã có một số nhà phát triển và nhà nghiên cứu bảo mật cảnh báo về "quả bom hẹn giờ PHP đang tích tắc", mặc dù không nhiều như cộng đồng infosec mong muốn Chưa có nỗ lực phối hợp nào để khiến mọi người chuyển sang PHP 7 mới hơn. x, nhưng một số dự án hệ thống quản lý nội dung trang web (CMS), từng cái một, đã bắt đầu sửa đổi các yêu cầu tối thiểu và cảnh báo người dùng sử dụng các môi trường lưu trữ hiện đại hơn Trong số ba công ty lớn --WordPress, Joomla và Drupal-- chỉ có Drupal thực hiện bước chính thức để điều chỉnh các yêu cầu tối thiểu của mình đối với PHP 7, nhưng động thái đó sẽ diễn ra vào tháng 3 năm 2019. Trớ trêu thay, 7. 0. nhánh x đã đạt đến EOL vào ngày 3 tháng 12 năm 2017, điều này thực sự không giải quyết được gì, nhưng đó vẫn là một bước tiến Yêu cầu tối thiểu của Joomla vẫn là PHP 5. 3, trong khi yêu cầu tối thiểu của WordPress vẫn là PHP 5. 2 "Nguồn quán tính lớn nhất trong hệ sinh thái PHP liên quan đến các phiên bản chắc chắn là WordPress, vẫn từ chối bỏ hỗ trợ cho PHP 5. 2 bởi vì có hơn 0 hệ thống trong vũ trụ vẫn chạy WordPress trên phiên bản PHP cũ, không được hỗ trợ," Arciszewski nói, mô tả sự cứng đầu khét tiếng của nhóm WordPress trong việc giữ yêu cầu tối thiểu của nó ở phiên bản PHP đã ra mắt EOL vào năm 2011 WordPress --được sử dụng cho hơn một phần tư của tất cả các trang web trên Internet-- chắc chắn sẽ thay đổi quan điểm của nhiều người về sự cần thiết của việc sử dụng các phiên bản PHP hiện đại nếu dự án chuyển yêu cầu PHP tối thiểu sang phiên bản PHP hiện đại. . chi nhánh x Sean Murphy, Giám đốc Threat Intelligence tại Defiant, công ty đứng sau plugin bảo mật WordFence cho WordPress, cho biết: “Tuy nhiên, phiên bản PHP nào nên được hỗ trợ [bởi WordPress] đã là một cuộc tranh luận lớn trong một thời gian. "Nhóm WordPress đang có sáng kiến thông báo cho người dùng khi họ đang sử dụng phiên bản cũ của PHP và cung cấp cho họ thông tin cũng như công cụ họ cần để yêu cầu phiên bản mới hơn từ nhà cung cấp dịch vụ lưu trữ của họ," ông nói thêm. "Đây là ghi chú từ cuộc họp gần đây của nhóm này. " Murphy tin rằng một trong những thách thức lớn nhất của việc triển khai nâng cấp phiên bản PHP cho một số lượng lớn các trang web là vô số yêu cầu hỗ trợ, một lý do khiến nhiều dự án CMS và nhà cung cấp dịch vụ lưu trữ web tỏ ra dè dặt và không muốn làm như vậy Nhưng Murphy cũng chỉ ra rằng "các nhà cung cấp dịch vụ lưu trữ tốt" sẽ luôn triển khai người dùng mới trên các phiên bản PHP mới theo mặc định, thay vì để khách hàng lựa chọn và sẽ chỉ cập nhật các máy khách hiện có lên phiên bản PHP mới khi được yêu cầu. Nhưng trừ khi khách hàng biết rằng phiên bản PHP của họ đã hết hạn sử dụng, rất ít người sẽ yêu cầu được chuyển sang phiên bản mới hơn Đây là nơi thông báo của WordPress dành cho người dùng đang chạy các trang web trên các phiên bản PHP lỗi thời sẽ đến để trợ giúp --khiến mọi người cập nhật máy chủ của họ hoặc yêu cầu nhà cung cấp dịch vụ lưu trữ của họ cung cấp môi trường lưu trữ hiện đại hơn Trong khi một số chuyên gia bảo mật WordPress cảnh báo về EOL sắp xảy ra đối với PHP 5. 6 nhánh và toàn bộ PHP 5. x, một cách gián tiếp, Murphy không phải là một trong số họ "Lỗ hổng PHP [. ] thực sự sẽ rất tồi tệ, nhưng không có bất kỳ điều gì mà tôi biết trong lịch sử gần đây," ông nói “Dựa trên các lỗ hổng PHP trước đây, mối đe dọa chủ yếu là với các ứng dụng PHP,” Murphy nói thêm, gợi ý rằng những kẻ tấn công có thể sẽ tiếp tục tập trung vào các thư viện PHP và hệ thống CMS Cũng thế. Gần một nửa số cuộc tấn công mạng nhắm vào SMB, đây là cách giữ an toàn TechRepublic Nhưng không phải tất cả đều chia sẻ ý kiến của Murphy. Ví dụ, Arciszewski tin rằng PHP 5. 6 và các nhánh cũ hơn sẽ được khuyến khích phát hiện các lỗ hổng mới nhiều hơn bình thường. Các nhánh này hiện là EOL, cực kỳ phổ biến và không được hỗ trợ -- điều kiện hoàn hảo của các mục tiêu phong phú với bảo mật kém thu hút những kẻ tấn công "Vâng, đó hoàn toàn là một yếu tố rủi ro," Arciszewski nói. "Chúng tôi đã thấy điều gì đó tương tự xảy ra sau khi hỗ trợ Windows XP bị loại bỏ và tôi nghi ngờ rằng chúng ta sẽ thấy điều tương tự xảy ra với nhánh PHP 5 "Có lẽ đó sẽ là chất xúc tác cần thiết để các công ty áp dụng PHP 7 một cách nghiêm túc? Tôi chỉ có thể hy vọng. " Và nếu quản trị viên máy chủ và chủ sở hữu trang web cần thuyết phục hơn, chúng tôi sẽ kết thúc bài viết này với cùng một kết thúc mà Martin Wheatley đã sử dụng cho tác phẩm "quả bom hẹn giờ PHP" của mình từ hơn một mùa hè PHP có còn được hỗ trợ không?Mỗi nhánh phát hành của PHP được hỗ trợ đầy đủ trong hai năm kể từ bản phát hành ổn định ban đầu .
Là PHP5. 6 vẫn được hỗ trợ?PHP 5. 6, 7. 0, 7. 1 và 7. 2 cuối đời
. Kể từ ngày 30 tháng 11 năm 2020, PHP 7. 2 đã hết tuổi thọ. End of life means these versions will no longer have security support and could be exposed to unpatched security vulnerabilities. As of November 30, 2020, PHP 7.2 reached its end of life.
Phiên bản PHP cập nhật nhất là gì?8. 2. PHP 8. 2 là phiên bản PHP chính sắp ra mắt, sẽ được phát hành vào tháng 11 năm 2022.
Là PHP5. 4 vẫn được hỗ trợ?Các phiên bản PHP này đã rất lỗi thời và không còn nhận được các bản cập nhật bảo mật từ các nhà phát triển PHP. Các máy chủ hiện tại sẽ tiếp tục hỗ trợ PHP 5. 4 và PHP5. 5 . Sẽ không có thay đổi nào đối với bất kỳ máy chủ hoặc ứng dụng hiện có nào. Tất cả các ứng dụng sử dụng PHP 5. 4 và PHP5. 5 sẽ tiếp tục hoạt động chính xác như hiện tại.
|
