Срок поддержки PHP 5.6 истекает в декабре 2018 года

16 октября 2018 г., вторник

Разработчики перестанут выпускать обновления безопасности для версии языка, которую используют 60% сайтов.

Более 60% сайтов могут оказаться уязвимыми для атак киберпреступников в случае обнаружения новых брешей в скриптовом языке PHP 5.6.x в связи с окончанием поддержки этой версии продукта. Завершение срока службы (EOL) продукта запланировано на 1 января 2019 года, однако на нем по-прежнему работает огромное количество веб-ресурсов.

PHP разрабатывается сообществом энтузиастов на некоммерческой основе. Обычно срок активной поддержки каждой версии языка составляет два года. В течение еще 12 месяцев создатели выпускают лишь обновления безопасности. Релиз 5.6 увидел свет в январе 2015 года и должен был быть полностью снят с обслуживания в начале 2018-го, однако учитывая его широкое распространение, авторы продлили срок эксплуатации до конца текущего года.

Разработчики надеялись, что отсрочка поможет администраторам сайтов и хостинг-провайдерам безболезненно перевести ресурсы на свежие версии PHP, однако владельцы большинства площадок проигнорировали такую возможность.

По данным портала W3Techs, в данный момент 62% всех сайтов в Сети используют PHP версии 5.6. или ранее. Среди ресурсов, все еще работающих на устаревшей платформе, такие площадки, как сервис SaveFrom, прокси-портал Hola и журнал Business Insider. Начиная с 1 января 2019 года, в случае обнаружения серьезных уязвимостей, связанных с PHP, они останутся без патчей и будут беззащитны перед злоумышленниками.

Переход на новые версии языка отчасти тормозит позиция авторов крупных фреймворков, не желающих поднимать минимальные системные требования для своих продуктов. Так, из трех наиболее распространенных CMS лишь Drupal требует обязательного использования PHP 7 или более поздней сборки. Создатели Joomla согласны на PHP 5.3, а разработчики WordPress — даже на 5.2.

При этом релиз 7.0 будет снят с поддержки еще раньше, чем 5.6 — срок его эксплуатации заканчивается 3 декабря этого года. Специалисты рекомендуют системным администраторам ориентироваться лишь на актуальный в данный момент PHP 7.2.

Как отмечают эксперты, большинство хостинг-провайдеров по умолчанию используют свежие версии языка при размещении новых сайтов, однако обновление уже существующих потребует дополнительных затрат времени и денег.

В прошлую пятницу стало известно, что в PHP 7.1 и 7.2 обнаружен ряд багов, эксплуатация которых допускает выполнение произвольного кода в контексте веб-приложения. Для устранения уязвимостей создатели языка программирования рекомендуют немедленно установить релизы 7.1.23 и 7.2.11, в которые уже включены необходимые патчи.

Threatpost