歡迎光臨
每天分享高質量文章

【每日安全資訊】PHP 5版年底終止安全更新 6成網站恐面臨風險

Web科技應用現況的調查公司W3Techs近日表示,根據所有網站使用的PHP版本狀況,從明年1月1日起,有近62%的網站將因未能獲得安全更新而陷入被黑或被植入惡意程式的風險。根據W3Techs的調查,截自本月15日,在其研究的網站樣本中,使用PHP的比例高達78.9%,而所有網站使用PHP 5的比例又達到61.8%。細分當中版本,所有網站使用PHP 5.6版的比例為41.5%,為版本5之冠。

圖片來源:PHP

根據PHP官網列出的支援版本及時程表 (下),PHP 5.6是在2014年推出,主要支援已在2017年1月19日截止,而安全支援也將在2018年12月31日終止。也就是二個半月後,使用PHP 5.6以前版本的網站都將不會再獲得安全漏洞或功能臭蟲的更新,除非使用者付費使用作業系統廠商的更新服務。如果駭客發現並開採了PHP舊版本的漏洞,數百萬網站及使用者可能立即曝險。

事實上PHP 5.6版的主要及安全更新期早就結束,但因使用的網站最多,因而PHP維護組織曾一度分別延長4個月及2年。

被某些人描述為PHP定時炸彈的大限中,較新的PHP 7.0更將在今年12月1日EOL(end of lifecycle),不再提供安全支援,連7.1版也將在12月1日終止主要支援,一年後結束安全支援。

目前三大網站內容管理系統(CMS)專案中,只有Drupal宣佈從明年3月6日起,Drupal支援網頁最低要使用PHP 7,建議採用7.1版。

Joomla建議為5.6或7版以上,支援下限為5.3.10。Wordpress則建議 PHP 7.2版以上,最低為5.2.4版。

ZDNet報導引述WordPress安全元件WordFence研發主管Sean Murphy指出,PHP漏洞攻擊者主要標的不是在PHP本身,而是在PHP函式庫及CMS系統,但是其他安全專家相信,等大限到來,駭客會更積極在PHP 5.6以前版本中找出漏洞。

*來源:新浪科技

更多資訊

◈ 微軟明年初將為Edge和IE禁用過時的TLS 1.0 1.1安全協議

http://t.cn/Ezzot3b

◈ 使用DLL註入繞過“受控制的檔案夾訪問”功能

http://t.cn/EzzKwr2

◈ 報告:針對iOS裝置的加密貨幣挖礦攻擊上升近400%

http://t.cn/EzzKyTy

駭客挾持羅馬尼亞市政廳電腦並要求比特幣贖金

http://t.cn/EzzK5Eg

(資訊來源於網路,安華金和蒐集整理)


贊(0)

分享創造快樂