Mi a baj az elavult php verziókkal?

Sajnos a “lemaradozó” PHP verziókkal az a probléma, hogy egy esetleges biztonsági hiba megjelenése esetén három forgatókönyv létezik:

  • vagy egyáltalán nem foglalkoznak vele és minden érintett weboldal támadható marad a biztonsági rés kihasználhatósága esetén vagy
  • fenntartanak fejlesztőket az elavult php verziók foltozásra. Azonban ők nem tudnak tevékenyen részt venni az aktuális és az új php biztonsági javításán, ezért az ő munkájukat valamilyen formában pótolni szükséges. Akár újabb fejlesztők bevonásával, akár túlórával, akár a vállalt fejlesztési időszakok elnyújtásával. Ez többlet kiadás a php biztonsági oldalon a cpanelnek/cloudlinuxnak, ami idővel növeli a licenszek árát és ez valamilyen formában a bérelt webtárhely csomagokon is láthatóvá fog válni.
  • A webszerveren, amennyiben sikerül a hiba kihasználhatóságához szükséges url paramétereket más szabályszerű weboldal lekérésektől elkülöníteni, lehetőség van ún. WAF szabály felállítására. Sajnos az esetek egy részében az így felállított szabályok minden körültekintés ellenére más oldalak működését akadályozhatják, további revíziókat igényelnek. Vannak továbbá olyan támadási típusok is, amelyek nem védhetőek ki ezzel a módszerrel.

Reméljük mindenkinek, aki még 5.6 vagy azelőtti elavult PHP verziót használ, mihamarabb lehetősége lesz legalább PHP7.3 -ra áttérni.
https://www.php.net/eol.php
A PHP5.6 közel 2 éve nem támogatott.

2020.11.06