作者
OSC-达尔文
本文经授权转载自开源中国(ID:oschina)
网络技术应用研究公司W3Techs近日表示,根据所有网站使用PHP版本的情况,从年1月1日起,有近62%的网站将会因为无法获得安全更新,而受到恶意攻击。
根据W3Techs的调查,从本月15日开始,其研究的网站样本中使用的PHP的比例高达78.9%,使用PHP5的网站的比例达到61.8%。在子版本中,使用PHP5.6版的网站的比例为41.5%,使用版本5的比例最高。
根据PHP官方网站列出的支持版本及时刻表(如下),PHP5.6于年发布,主要支持已于年1月19日关闭,安全支持将于年12月31日终止。
即两个半月后,使用PHP5.6版本的网站将不再收到安全漏洞或错误更新,除非用户支付操作系统供应商的更新服务费用。
如果黑客发现并利用旧版PHP中的漏洞,可能会使数百万个网站和用户陷入危险。
事实上,PHP5.6的主要及安全更新期早就结束,但因使用的网站较多,因此,PHP维护组织曾一度分别延长其支持时间。
有些人将这种情况描述为PHP定时炸弹。较新的PHP7.0将不再在今年12月1日的EOL(生命周期结束)提供安全支持。即便是版本7.1也将于12月1日终止。一年后结束安全支持。
目前三大网站内容管理系统(CMS)项目中,只有Drupal宣布从明年3月6日起,Drupal支持网页最低要求PHP7,建议采用7.1版。Joomla推荐使用5.6或更高版本,支持下限为5.3.10。Wordpress建议使用PHP7.2或更高版本,最低支持5.2.4。
根据ZDNet报道,WordFence安全组件研发主管SeanMurphy表示,PHP漏洞利用的主要目标不是在PHP本身,而是在PHP库和CMS系统中,但其他安全专家认为,等截止日期到来,黑客就会积极利用PHP5.6中的漏洞的。
声明:本文经授权转自开源中国,OSC-达尔文编译。