Quanto sono pericolose le versioni di PHP obsolete per i miei clienti?

3

Nell'azienda in cui lavoro (webhosting) i nostri clienti possono scegliere la versione PHP che vogliono usare per il loro sito web.

Tuttavia, ho appena realizzato che tutte le versioni PHP offerte sono obsolete (cioè PHP 5.4.38, 5.5.22 e 5.6.6 offerto ai nostri clienti - le versioni correnti sono 5.4.43, 5.5.27 e 5.6.11). Quanto è pericoloso per i nostri clienti? Gestire quelle vecchie versioni è pura pazzia o è solo un rischio minore per i nostri clienti?

modifica: non sono stati applicati aggiornamenti di sicurezza, è solo PHP 5.4.38 di qualche mese fa.

    
posta rosix 17.07.2015 - 12:07
fonte

3 risposte

3

La maggior parte delle nuove versioni include miglioramenti della sicurezza, quindi la versione più vecchia è il tempo più lungo che un utente malintenzionato deve sfruttare.

È possibile sfogliare una libreria di vulnerabilità, ad esempio ecco uno per php 5.4 . Puoi verificare tu stesso quante vulnerabilità sono state divulgate e quanto sono severe. Per la maggior parte penso che sia questione di quali estensioni siano abilitate e del codice specifico, non ricordo l'identificatore CVE ma ricordo una funzione multibyte in php (molto tempo fa) che causerebbe un overflow del buffer se data una stringa specifica .

Secondo me, le versioni che hai attualmente non sono terribilmente vecchie, ma pongono alcuni problemi di sicurezza, ecco un esempio di una vulnerabilità DoS.

Guardalo da un'altra angolazione, le nuove versioni di php vengono anche con cambiamenti nelle funzioni e l'aggiornamento a una versione più recente potrebbe non essere sempre trasparente per l'applicazione, le cose potrebbero rompersi. Quindi una società di hosting non dovrebbe aggiornare automaticamente la versione di PHP senza il consenso del cliente.

    
risposta data 17.07.2015 - 12:38
fonte
1

Se vengono applicati gli aggiornamenti di sicurezza, è perfettamente normale, anche normale, eseguire una versione precedente di PHP.

Su un computer desktop, le persone spesso si avvicinano agli aggiornamenti con la mentalità di voler sempre ottenere le versioni più recenti e migliori, il che va bene (e buono) per i computer degli utenti finali. Ma per i server, l'attenzione è sulla stabilità: le persone di solito non vogliono aggiornare il software server critico alla versione più recente non appena viene rilasciato; gli aggiornamenti possono spesso rompere le cose e vogliono aspettare fino a quando non vengono testati più approfonditamente prima dell'aggiornamento, per motivi di stabilità. Pertanto, è prassi comune installare solo gli aggiornamenti di sicurezza immediatamente e attendere un po 'prima di eseguire l'aggiornamento a una versione più recente.

    
risposta data 17.07.2015 - 12:58
fonte
0

Is running those old versions pure madness or is it just a minor risk for our customers?

No, per niente: non è né una pura follia né un rischio minore. Devi assolutamente trovare un modo per convincere (nel caso tu non possa farlo da solo) i tuoi clienti ad aggiornare le loro versioni PHP alla più recente SE è possibile ALTRIMENTI aggiornare le funzionalità di sicurezza delle loro versioni attuali.

Le versioni PHP servono principalmente a correggere le vulnerabilità della sicurezza di quelle vecchie.

Puoi trovare migliaia di vulnerabilità della sicurezza delle precedenti versioni di PHP su CVEDETAILS con tutti i dettagli del loro impatto e della loro gravità.

    
risposta data 17.07.2015 - 12:38
fonte

Leggi altre domande sui tag