Beheer

Security
verouderde security

PHP-securityprobleem doemt op vanaf nieuwjaarsdag

Oudere PHP-versies nog veel gebruikt, over enkele dagen zónder updates.

© CCO / Pixabay Ryan McGuire
27 december 2018

Oudere PHP-versies nog veel gebruikt, over enkele dagen zónder updates.

Meer dan de helft van websites wereldwijd draait vanaf 1 januari een PHP-versie zonder support. Het is wachten op de eerste securitybugs en misbruik daarvan. Ondanks tijdige (en herhaalde) aankondiging van dit supporteinde plus de beschikbaarheid van nieuwere versies wordt PHP 5.x nog veel gebruikt.

Scripttaal PHP wordt wereldwijd gebruikt door bijna 80 procent van alle websites. De oudere, straks verlaten 5.x-reeks draait op bijna 60 procent van alle websites. Het gaat specifiek om respectievelijk 78,8 en 58,7 procent zoals vandaag (27 december) gemeten door webtechnologiemonitor W3Techs.com. Nederland loopt redelijk in lijn met deze gebruikspercentages.

Laatst nog securityrelease

Van de diverse 5.x-versies is de minst oude 5.6-release het meest gebruikt: minder dan de helft (42,7 procent) van alle 5.x-installaties. De directe voorgangers 5.5, 5.4 en 5.3 kunnen echter ook nog boven op redelijke gebruikspercentages (respectievelijk 13,8 en 19,8 en 16,7 procent). Begin december is nog een nieuwe subversie in de 5.x-reeks uitgebracht. Deze versie 5.6.39 is een securityrelease die meerdere beveiligingsbugs verhelpt.

Volgens planning is 5.6.39 de allerlaatste release in de 5.x-reeks. Vanaf 31 december dit jaar vervalt alle ondersteuning voor die oudere PHP-serie. Beheerders krijgen al geruime tijd het dringende advies om te upgraden naar de huidige 7.x-reeks. Het gaat hierbij om versies 7.1 of 7.2 of 7.3, die allen nog support genieten. De ooit ambitieus ingestoken ontwikkeling van PHP 6 is nooit tot een release gekomen.

Normaliter 2 jaar plus 1 jaar

De normale supportperiode voor elke grote release van PHP duurt twee jaar, waarna er nog een jaar ondersteuning volgt met alleen updates voor kritieke securitykwesties. Voor PHP 5 is een uitzondering gemaakt: de actieve support is met 4 maanden verlengd en de securitysupport is verdubbeld van 1 naar 2 jaar. De eerste 5.6-release is in augustus 2014 uitgebracht en stamt af van versie 5.0 die in juli 2004 is uitgekomen.

Begin deze maand, tegelijk met de 5.6.39 securityrelease, is PHP 7.3.0 verschenen. Deze derde release in de 7.x-reeks brengt diverse verbeteringen en nieuwe functionaliteit, maar ook incompatibiliteit. Upgraden is dus geen gemakkelijke opgave. Het PHP-team biedt ook migratiehandleidingen; vanaf voorgaande releases.

Tot eind 2019, 2020 en 2021

De officiële PHP-documentatie voor sites die het nog altijd veel gebruikte 5.x draaien, biedt alleen informatie voor direct volgende versiemigraties. Versie 7.0 is officieel al niet meer ondersteund: sinds 3 december dit jaar. Opvolger 7.1 geniet nog support tot 1 december 2019, terwijl 7.2 tot 30 november 2020 heeft, en het courante 7.3 zijn ondersteuning op 6 december 2021 ziet verlopen.

De hele 7.x-reeks heeft een marktaandeel van nog geen kwart (19,7 procent) van alle websites, aldus W3Techs in de cijfers van vandaag. Daarbij is het niet meer ondersteunde 7.0 het meest gebruikt (met 43,9 procent). Opvolger 7.1 is daarna het grootste (met 30,7 procent), op de voet gevolgd door 7.2 (met 25,2 procent). Het gloednieuwe PHP 7.3 volgt op afstand (met momenteel 0,2 procent).

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.