Generelle Fragen zu PHP-Versionen mit EOL

  • Mich würde einfach mal interessieren, wieso bei Netcup noch PHP 5.3 und PHP 5.4 zur Verfügung stehen, die doch offiiziell gar nicht mehr mit Sicherheits-Updates versorgt werden? Siehe Tabelle und Supported Versions


    Zitat

    This page lists the end of life date for each unsupported branch of PHP. If
    you are using these releases, you are strongly urged to upgrade to
    a current version, as using older versions
    may expose you to security vulnerabilities and bugs that have been fixed in
    more recent versions of PHP.


    Man kann doch nicht darauf bauen, dass trotz EOL bei Sicherheitslücken noch Patches geliefert werden? Und dass diese auch in älteren Versionen immer wieder mal auftauchen können, hat die Vergangenheit ja schon gezeigt.

  • Manche Hoster bieten z.B. auch noch immer PHP 4 an und entwickeln teilweise sogar eigene Patches dafür. Das nur am Rande als Hinweis. Für Geld kann man auch viel einkaufen, neben dem PHP-Entwicklerteam soll es auch noch andere Personen auf dieser Welt geben, die den Quellcode davon verstehen… ;) :D



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hallo :),


    ja, das ist schon klar, gibt so ziemlich alles :D . Aber offiziell nicht supportete PHP-Versionen werden doch gar nicht mehr auf Sicherheitslücken geprüft.


    Ich möchte ja auch im Grunde nur wissen, wie und ob Netcup hierfür die Sicherheit garantiert.Ob Linux EOL PHP Versionen prüft und patched wenn Lücken für aktuelle PHP-Versionen bekanntwerden, keine Ahnung. Bin halt kein Experte, deswegen frage ich ja auch hier, sonst könnte ich es mir ja selbst beantworten ;)

  • Erst einmal zwingt netcup dich ja nicht die alten Versionen von php einzusetzen. Die werden von den Hosten noch angeboten da viele Nutzer Scripts nutzen, die nicht mehr weiterentwickelt werden und deshalb eine ältere PHP-Version benötigen. Wie du dir schon denken kannst, ist ein Script, dass nicht mehr weiterentwickelt wird, natürlich selbst schon anfällig für Angriffe, da auch Sicherheitslücken nicht mehr behoben werden.


    Grundsätzlich ist bei einem erfolgreichen Angriff aber nicht gleich der ganze Server gefährdet. Die einzelnen Webseiten bzw. Accounts laufen jeweils unter einem eigenen Benutzer, der, wenn alles richtig eingestellt ist, auch nicht auf die Dateien der anderen Benutzer zugreifen kann.


    Nun zu den EOL Versionen: Die meisten Sicherheitslücken sind in mehr als einer Version vorhanden und dabei auch meist noch in welchen, die noch aktiv von den Entwicklern unterstützt werden. Wenn nun dafür jetzt ein Patch erscheint, dann pflegen die Paketentwickler der Distributionen diesen auch bei den älteren Versionen ein. Ansonsten, wenn der Fehler z.B. nur in nicht mehr unterstützen Versionen vorhanden ist, wird der Patch von den Entwicklern der Distribution entwickelt. Dabei aber auch meist nur von einer, dessen Ergebnisse dann von den anderen übernommen wird. Häufig kommen diese von der kostenpflichtigen Distribution RHEL.

  • Guten Morgen,




    vielen Dank für die ausführlichen Erklärung.


    Um noch die offene Frage zu beantworten:


    Bei unserer neuen Webhosting-Cloud setzen wir auf CentOS6 und CentOS7. Durch RHEL können wir noch längere Zeit PHP > 5.3 anbieten. Sicherheitsupdates wird es selbstverständlich geben.


    Beim alten Confixx-Webhosting setzen wir auf Debian. Hier hier der Support von PHP 5.3 jetzt ausgelaufen und wir bieten dort PHP 5.3 auch nicht mehr an.



    Mit freundlichen Grüßen


    Felix Preuß