澳门新葡亰信誉平台游戏PHP 5版年底终止安全更新,6成网站恐面临风险 – PHP – IT之家

by admin on 2020年3月5日

Imperva 昨日发布了“ 2018 Web
应用漏洞现状”报告。数据显示,2018
年发现的 Web 应用新漏洞共 17,142 个,比 2017 年增加了 21%
,相比 2016 年增加了 159%
。其中有超过一半的漏洞可被黑客公开利用,有超过 1/3
的漏洞暂时还没有可用的解决方案。

全球第三大属性管理系统Drupal修补一重大安全漏洞,该漏洞允许远端黑客执行任意程序并取得Drupal网站的控制权。

10月16日上午消息,据中国台湾地区媒体报道,Web科技应用现况的调查公司W3Techs近日表示,根据所有网站使用的PHP版本状况,从明年1月1日起,有近62%的网站将因未能获得安全更新而陷入被黑或被植入恶意程序的风险。

CMS 方面,WordPress 的漏洞数量持续增加。Drupal 虽然数量低于 WordPress
,但造成的影响更大,被用于大规模攻击。此外,物联网、弱验证,以及 PHP
相关的漏洞数量有所下降。

根据WebsiteSetup在去年12月的统计,全球约有16.5亿个网站,当中有一半采用属性管理系统进行建置,在CMS市场上,市占率最高的是WordPress,占了60%,居次的是Joomla的6.6%,Drupal则以4.6%名列第三,意味着约有3,700万个网站采用Drupal。

根据W3Techs的调查,截自本月15日,在其研究的网站样本中,使用PHP的比例高达78.9%,而所有网站使用PHP
5的比例又达到61.8%。细分当中版本,所有网站使用PHP
5.6版的比例为41.5%,为版本5之冠。

澳门新葡亰信誉平台游戏 1

澳门新葡亰信誉平台游戏 2

根据PHP官网列出的支持版本及时程表,PHP
5.6是在2014年推出,主要支持已在2017年1月19日截止,而安全支持也将在2018年12月31日终止。也就是二个半月后,使用PHP
5.6以前版本的网站都将不会再获得安全漏洞或功能臭虫的更新,除非用户付费使用作业系统厂商的更新服务。如果黑客发现并开采了PHP旧版本的漏洞,数百万网站及用户可能立即曝险。

整体来看,占比最高的是注入漏洞,像是 SQL
注入、命令注入、对象注入等,同比增长了 588% ,占总漏洞数的 19%
。 其实是 XSS 漏洞,占 14% 。

Drupal则说明,此一编号为CVE-2019-6340的安全漏洞,肇因于某些类型的栏位无法适当地处理非表格来源的资料,在某些情况下将允许黑客自远端执行PHP程序,因而将它列为高度重大(highly
critical)漏洞。

事实上PHP
5.6版的主要及安全更新期早就结束,但因使用的网站最多,因而PHP维护组织曾一度分别延长4个月及2年。

澳门新葡亰信誉平台游戏 3

但只有在某些特定的配置下才会形成漏洞,包括在Drupal 8上启用RESTful
Web服务模组,同时允许PATCH或POST请求;或者是启用了其它Web服务模组,像是在Drupal
8上启用JSON:API,或是在Drupal 7上启用Services或RESTful。

被某些人描述为PHP定时炸弹的大限中,较新的PHP
7.0更将在今年12月1日EOL,不再提供安全支持,连7.1版也将在12月1日终止主要支持,一年后结束安全支持。

对于 2019 年,Imperva 预测:

Drupal已修补了相关漏洞,建议Drupal 8.6.x用户升级到Drupal
8.6.10,8.5.x用户升级到Drupal 8.5.11,而虽然8.5.x以前的Drupal
8版本也受到该漏洞的影响,但因其产品寿命周期已经结束,已无更新程式可用。

目前三大网站内容管理系统专案中,只有Drupal宣布从明年3月6日起,Drupal支持网页最低要使用PHP
7,建议采用7.1版。

  • 注入漏洞数量将继续增长;

  • PHP 5.5、5.6 和 7.0
    已停止支持,这意味着这些版本将不再接收安全更新。像 WordPress、Drupal
    和 Joomla 这样的主流 CMS 都是用 PHP
    开发的,虽然会更新版本,但也仍然支持旧版本。这样可能造成的结果是,黑客在不受支持的
    PHP 版本中发现更多新安全漏洞;

  • 随着 DevOps 成为 IT 的关键因素,对 API 的需求不断增长,更多 API
    相关漏洞将被发现。

若要立即缓解该漏洞则可关闭所有的Web服务模组,或是变更Web服务器配置,禁止以PUT/PATCH/POST请求Web服务资源。

Joomla建议为5.6或7版以上,支持下限为5.3.10。Wordpress则建议PHP
7.2版以上,最低为5.2.4版。

(文/开源中国)    

ZDNet报导引述WordPress安全元件WordFence研发主管Sean
Murphy指出,PHP漏洞攻击者主要目标不是在PHP本身,而是在PHP函式库及CMS系统,但是其他安全专家相信,等大限到来,黑客会更积极在PHP
5.6以前版本中找出漏洞。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图