PHP 5.3 Security Backports

Mitte 2013 entschied PHP.net, dass PHP 5.3 nur noch ein Jahr lang Sicherheitsupdates erhält. Dieses läuft im Juni / Juli 2014 aus. Laut Plan werden Ihre PHP 5.3 Installationen danach keine Sicherheitsupdates mehr erhalten, obwohl Sie wahrscheinlich gezwungen sind PHP 5.3 nach diesem Datum noch für eine Weile weiter einzusetzen, bevor Sie ihre Applikationen updaten können.

Doch schon jetzt hinkt PHP 5.3 in Sachen Sicherheit hinterher, weil das letzte Sicherheitsupdate für PHP 5.3 im Dezember 2013 veröffentlicht wurde. Seitdem wurden bereits einige neue PHP Versionen veröffentlicht, die Sicherheitslücken beheben, die auch PHP 5.3 betreffen, allerdings niemals zurückportiert wurden. Dies sind zum Beispiel:

Allerdings ist die Absicherung Ihrer PHP 5.3 Installationen mehr Arbeit als die einfache Rückportierung dieser Fehlerbehebungen. PHP unterliegt ständiger Entwicklung und Fehler werden kontinuierlich behoben. Im Mittel wurde in den letzten 3 Jahren ungefähr ein PHP Update pro Monat für die noch aktiven PHP Versionen veröffentlicht. Dies bedeutet zwei Updates pro Monat und eine Menge Fehlerbehebungen, die überprüft werden müssen.

Einige dieser Fehler sind dabei als Sicherheitsprobleme markiert, aber ziemlich häufig wird der Sicherheitscharakter von Fehlern nicht erkannt und sie deshalb nicht als solche ausgewiesen. Zum Beispiel werden von PHP.net die meisten Absturzfehler nicht als sicherheitsrelevant angesehen, obwohl die Fehler als Sicherheitsprobleme ausnutzbar sein könnten. Dies ist generell ohne genauere Analyse nicht erkennbar. In der Regel findet diese Analyse aber nicht statt. Manchmal werden solche Fehler noch nicht einmal in Change-Log von PHP vermerkt. Die folgenden vier Fehler sind beispielsweise in aktuellen PHP Versionen geschlossen und durch die letzten Updates behoben, jedoch nicht als Sicherheitsproblem markiert worden - dies obwohl sie PHP zum Absturz bringen und Auswirkungen auf die Sicherheit haben könnten:

Es erfordert daher eine ganze Menge Aufwand nachzuvollziehen, welche Sicherheitsfehler behoben wurden, welche nicht aufgelistet oder nicht als Sicherheitsproblem erkannt wurden, welche nicht im Change-Log genannt wurden und ob diese überhaupt PHP 5.3 betreffen. Die PHP Security Backports von unseren PHP Sicherheitsspezialisten von SektionEins können Ihnen dabei helfen, diese Arbeit zu bewältigen und ihre PHP 5.3 Installationen abzusichern.

Bitte kontaktieren Sie uns um weitere Informationen und Preise zu erfahren: info@sektioneins.de.