作者 | OSC-达尔文
本文经授权转载自开源中国(ID:oschina2013)
网络技能运用研究公司 W3Techs 近日表示,根据所有网站利用 PHP 版本的情形,从 2019 年 1 月 1 日起,有近 62% 的网站将会由于无法得到安全更新,而受到恶意攻击。
根据 W3Techs 的调查,从本月 15 日开始,其研究的网站样本中利用的 PHP 的比例高达 78.9%,利用 PHP 5 的网站的比例达到 61.8%。 在子版本中,利用 PHP 5.6 版的网站的比例为 41.5%,利用版本5的比例最高。
根据 PHP 官方网站列出的支持版本及时刻表(如下),PHP 5.6 于 2014 年发布,紧张支持已于2017年1月19日关闭,安全支持将于 2018 年 12 月31 日终止。
即两个半月后,利用 PHP 5.6 版本的网站将不再收到安全漏洞或缺点更新,除非用户支付操作系统供应商的更新做事用度。
如果黑客创造并利用旧版 PHP 中的漏洞,可能会使数百万个网站和用户陷入危险。
事实上,PHP 5.6 的紧张及安全更新期早就结束,但因利用的网站较多,因此,PHP 掩护组织曾一度分别延长其支持韶光。
有些人将这种情形描述为 PHP 定时炸弹。 较新的 PHP 7.0 将不再在今年 12 月 1 日的 EOL(生命周期结束)供应安全支持。 即便是版本 7.1 也将于12 月 1 日终止。一年后结束安全支持。
目前三大网站内容管理系统(CMS)项目中,只有 Drupal 宣告从明年 3 月6 日起,Drupal 支持网页最低哀求 PHP 7,建议采取 7.1 版。Joomla 推举利用 5.6 或更高版本,支持下限为 5.3.10。 Wordpress 建议利用 PHP 7.2 或更高版本,最低支持5.2.4。
根据 ZDNet 宣布,WordFence 安全组件研发主管 Sean Murphy 表示,PHP 漏洞利用的紧张目标不是在 PHP 本身,而是在 PHP 库和 CMS 系统中,但其他安全专家认为,等截止日期到来,黑客就会积极利用 PHP 5.6 中的漏洞的。
声明:本文经授权转自开源中国,OSC-达尔文编译。
