Около 74% установок PHP содержат проблемы с безопасностью

31.12.2014 14:52

Энтони Феррара (Anthony Ferrara), работающий в Google, проанализировал версии PHP на публично доступных серверах и пришёл к выводу, что безопасными являются лишь 25.94% установок, в которых используются свежие и поддерживаемые пакеты с PHP, в то время как в 74.06% случаев используются устаревшие версии, которые содержат уязвимости.

Отмечается, что полученные показатели являются оптимистичными, в то время как реально процент уязвимых систем может быть больше из-за того, что к безопасным отнесены не только актуальные выпуски 5.6.4, 5.5.20 и 5.4.36, но и все версии PHP, поставляемые в дистрибутивах Linux, не прекративших выпуск обновлений. Например, выпуск PHP 5.3.3 признан безопасным, так как он используется в пакетах CentOS 6.6 и Debian 6, для которых ещё выпускаются обновления. При этом не учитываются ситуации, когда обновления пакета могут быть не установлены или PHP собран из исходных текстов. Так как ветка PHP 5.6.x ещё слабо распространена в серверных дистрибутивах, 93.3% всех установок на основе PHP 5.6.x посчитаны как небезопасные, так как в них используются не актуальные версии. Для ветки PHP 5.5.x небезопасными признаны 63.4%, систем, PHP 5.4.x - 89.6%, PHP 5.3.x - 66.1%.

Интересно, что для других языков программирования, CMS и серверных приложений статистика выглядит намного лучше, например, безопасными признаны 82.27% установок Perl, 77.59% - Python, 64.48% - Nginx, 61.96% - Apache, 60.45% - WordPress, 45.23% - Drupal.

исправить +12 +/–

Главная ссылка к новости (http://blog.ircmaxell.com/2014...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41374-php

Ключевые слова: php, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, Sluggard (ok), 15:05, 31/12/2014 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Про Java и RoR ничего нет почему-то.

2.2, омномномнимус (?), 15:24, 31/12/2014 [^] [^^] [^^^] [ответить]	–1 +/–
Где ты видел бложеки на яве?

3.3, Sluggard (ok), 15:29, 31/12/2014 [^] [^^] [^^^] [ответить]	+5 +/–
Где ты в новости видел, что речь о бложеках? А на Java ЛОР написан. )

4.7, омномномнимус (?), 16:18, 31/12/2014 [^] [^^] [^^^] [ответить]	+/–
"бложеки" -- это было иносказательно. Имелись в виду не особо сложные сайты и пр. А на лоре периодически выпадают NullPointerException и чо? :-)

5.8, Sluggard (ok), 16:57, 31/12/2014 [^] [^^] [^^^] [ответить]	+1 +/–
В новости и не о «не особо сложных сайтах». А на ЛОРе много чего выпадает. И он сам порой. )

5.16, электронщег (?), 19:30, 31/12/2014 [^] [^^] [^^^] [ответить]	+3 +/–
Вот уже десятый год подряд минимум 3-5 раз в сутки захожу на ЛОР, ни единого раза не видел никаких "выпадений". У нас разные ЛОРы? :)

6.17, Sluggard (ok), 19:35, 31/12/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Почитай архивы l-o-r и lor-source.

1.4, Rodegast (ok), 15:46, 31/12/2014 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> 60.45% - WordPress, 45.23% - Drupal Разве оно не на пыхе?

2.15, Аноним (-), 18:26, 31/12/2014 [^] [^^] [^^^] [ответить]	+/–
Речь о версиях самих фреймворков, не учитывая версию пыха и оси.

1.5, Аноним (5), 15:47, 31/12/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, около 26% безопасных установок ПХП, а Вордпресс и Друпал, которые на нем же, аж 60% и 45% ?

2.6, Аноним (-), 15:52, 31/12/2014 [^] [^^] [^^^] [ответить]	+/–
тут, наверное, фишка в самом пехопе-поделии и в способе его установки, получается, что четвёртый вротпресс установленный на шестую центось из её родных репов безопасен, а перделки хомяков на пехопешесть — опасны

1.9, re (?), 17:19, 31/12/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Единственное на чем бы начал из веба кодить на данный момент это go, хотя и то пузырь рано или поздно лопнет но на данный момент хомякфренди лучше имха нет, по ощущениям ведь нет дырка при всем уважении, вообщем с наступающим #opennet даешь нормальные картинки из постов в репосты в новом году а не логотип этого прославленного рессурса при всем уважении.

2.10, Аноним (-), 17:37, 31/12/2014 [^] [^^] [^^^] [ответить]	+3 +/–
Как господь молвил.

2.11, Аноним (-), 17:55, 31/12/2014 [^] [^^] [^^^] [ответить]	+/–
Похоже, уже начал встречать НГ :)

2.13, Аноним (-), 18:23, 31/12/2014 [^] [^^] [^^^] [ответить]	+/–
Rust красивее, как мне кажется,

3.20, all_glory_to_the_hypnotoad (ok), 19:57, 31/12/2014 [^] [^^] [^^^] [ответить]	+/–
оно точно не для веба. По крайней мере типичные веб-макаки не осилят на нём херачить код.

2.23, Grammar_Nazi (?), 11:46, 01/01/2015 [^] [^^] [^^^] [ответить]	+/–
"в общем", ёпта

3.25, True GN (?), 19:12, 01/01/2015 [^] [^^] [^^^] [ответить]	+/–
> "в общем", ёпта «В общем», ёпта.

1.12, cmp (ok), 18:05, 31/12/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а нжинкс нынче язык программирования? как можно противопоставлять вордпресс нжинкс и пхп, если это ингридиенты одного бутерброда, почему ссл не упомянут, получается насобирали циферок - вот они, "они не точные, и непонятно как друг на друга завязаны, но мы работаем в гугле и точно знаем, что пхп отстой!", отличная статистика, дело чурова живет

2.21, all_glory_to_the_hypnotoad (ok), 20:06, 31/12/2014 [^] [^^] [^^^] [ответить]

+2 +/–

> вот они, "они не точные, и непонятно как друг на друга завязаны, но мы работаем в гугле и точно знаем, что пхп отстой!"

Чуваку хочень хотелось написать какой-нибудь псто в своём журнале, вот он и состряпал его из чего было. Прямо таки хозяюшка рукодельница.

А другому чуваку очень захотелось что-то перепостить на опеннет и он как-то узнал что первый чувак имеет какое-то отношение к гуглу - ну а почему бы этот факт не засунуть в текст новости? Так же она громче звучит.

Ну а что пхп лютый кусок гогна и так все знают, можно было бы лишний раз не озвучивать очевидный факт.

2.27, Аноним (-), 22:34, 01/01/2015 [^] [^^] [^^^] [ответить]	+/–
Ну конфиг nginx вполне себе язык программирования - правда декларативный. Туда ходи сюда не ходи. Вообще не важно что везде где есть варианты и это в виде текста PHP, HTML, JS, XAML,SQL это языки программирования только программы там специфичные. Для "различных" компиляторов.

3.32, Другой аноним (?), 23:55, 04/01/2015 [^] [^^] [^^^] [ответить]	+/–
Аноним, ты идиот. HTML и иже с ним - языки разметки, а не программирования.

2.33, XoRe (ok), 21:07, 05/01/2015 [^] [^^] [^^^] [ответить]	+/–
Давно хотел перейти с php на drupal. Заодно уйду с nginx и apache.

1.14, YetAnotherOnanym (ok), 18:24, 31/12/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> безопасными признаны 82.27% установок Perl Вечно эти прокуренные старпёры со своим перлом нормальным людям статистику портят!

1.18, all_glory_to_the_hypnotoad (ok), 19:47, 31/12/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> то безопасными являются лишь 25.94% установок, в которых используются свежие и поддерживаемые пакеты с PHP Так и новые PHP пакеты когда-то становятся старыми с уязвимостями, этот замкнутый круг никак не исправить, пых обречён благодаря своим тупым апологетам.

1.19, all_glory_to_the_hypnotoad (ok), 19:49, 31/12/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> безопасными признаны 82.27% установок Perl, ну да, неуловимый джо такой неуловимый. Нужно же ещё оценивать уязвимость самого кода, перл в этом плане далеко от пыха не уползёт.

1.22, Аноним (-), 06:34, 01/01/2015 [ответить] [﹢﹢﹢] [ · · · ]

+/–

100% ложь.

Куча дистров имеют "старые" "небезопасные" версии PHP, которые пропатчены на предмет уязвимостей.

"Исследователей" на помойку.

// b.

2.26, Аноним (-), 20:54, 01/01/2015 [^] [^^] [^^^] [ответить]	+/–
> 100% ложь. > Куча дистров имеют "старые" "небезопасные" версии PHP, которые пропатчены на предмет уязвимостей. Специально для таких как вы в новости пример разжеван "....в которых используются свежие и _поддерживаемые_ пакеты с PHP ...... к безопасным отнесены не только актуальные выпуски 5.6.4, 5.5.20 и 5.4.36, но и все версии PHP, поставляемые в дистрибутивах Linux, не прекративших выпуск обновлений. Например, выпуск PHP 5.3.3 признан безопасным, так как он используется в пакетах CentOS 6.6 и Debian 6, для которых ещё выпускаются обновления."

1.29, Аноним (-), 04:37, 02/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
* Protects the internal memory manager against bufferoverflows with Canary and SafeUnlink Protection * Protects Destructors of Zend Hashtables * Protects Destructors of Zend Linked-Lists * Protects the PHP core and extensions against format string vulnerabilities * Protects against errors in certain libc realpath() implementations * Protection Simulation mode :!: * Adds the functions sha256() and sha256_file() to the PHP core * Adds support for CRYPT_BLOWFISH to crypt() on all platforms * Transparent protection of open phpinfo() pages * EXPERIMENTAL SQL database user protection etc.. http://www.suhosin.org/stories/feature-list.html

1.30, sergey_klay (ok), 08:00, 02/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Это всё говорит только об одном — чаще обновляйтесь

1.31, CSRedRat (ok), 14:52, 04/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Drupal меньше 50% и меньше Wordpress - теперь-то всё понятно и на своих местах.

1.34, Аноним (-), 14:57, 08/01/2015 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> Интересно, что для других языков программирования, CMS и серверных приложений статистика выглядит намного лучше, например, безопасными признаны 82.27% установок Perl, 77.59% - Python, 64.48% - Nginx, 61.96% - Apache, 60.45% - WordPress, 45.23% - Drupal.

Nginx и Apache - не являются языками программирования!
WordPress и Drupal - являются CMS, и написаны на РНР!

Новость похожа на вброс информации от "Троля"
С незапамятных времен известно, что в РНР периодически находят уязвимости, которые затем исправляют. А вот что ВСЕ! хостинг-центры используют принципиально уязвимые сервисы - это КОНСТАНТА и уже несколько лет!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: