Die meisten Leute sind auf LTE-Versionen von Ubuntu, Debian oder
anderen Distributionen.
Bei LTE-Versionen kann man sich auf die gemeldete PHP-Version NICHT
verlassen. Weil sicherheitsrelevante Patches in aller Regel manuell
rückportiert werden. Bei einem Backport ändert sich die nach außen
gemeldete Versionsnummer jedoch in der Regel NICHT!
Ergo: an der Versionsnummer allein kann man eben NICHT festmachen, ob
ein System anfällig ist. Insbesondere für diese spezielle Lücke gibt
es meines Wissens schon seit langer Zeit eingearbeitete Backports.
Die Zahlen des Berichts sind folglich garantiert deutlich zu hoch.
Aber! Wir haben stattdessen ein ganz anderes Problem!
Im April kommt die neue Ubuntu LTE Version und es ist mehr als
überfällig Pläne für die Migration zu machen! Denn diesen Sommer
läuft der Support für den immer noch sehr beliebten PHP 5.3-Branch
endgültig aus und dann gibt es keine Sicherheitsupdates mehr.
PHP 5.4 ist jedoch in den alten Repositories noch gar nicht drin und
wird nachträglich dort auch nicht mehr hineinkommen. Das heißt:
spätestens im Herbst ist jeder Server, der noch nicht auf die neue
Betriebssystemversion und PHP 5.4 migriert wurde, potentiell
gefährdet!
Das bedeutet, diese Migration ist aus Gründen der Sicherheit
eigentlich Pflicht. Aber nur die allerwenigsten Firmen haben
tatsächlich eine Upgradestrategie in der Schublade. Die meisten
scheinen das fällige Update entweder zu verschlafen oder zu
ignorieren. Und somit haben wir spätestens ab Herbst Tausende
potentiell ungepatchte Server im Land, die nicht mehr mit
Sicherheitsupdates versorgt werden.
DAS macht mir tatsächlich sorgen.
(Was diese "Sicherheitsfirma" namens "Imperva" da an Nebelkerzen
zündet halte ich dagegen für Hokus-Pokus)
anderen Distributionen.
Bei LTE-Versionen kann man sich auf die gemeldete PHP-Version NICHT
verlassen. Weil sicherheitsrelevante Patches in aller Regel manuell
rückportiert werden. Bei einem Backport ändert sich die nach außen
gemeldete Versionsnummer jedoch in der Regel NICHT!
Ergo: an der Versionsnummer allein kann man eben NICHT festmachen, ob
ein System anfällig ist. Insbesondere für diese spezielle Lücke gibt
es meines Wissens schon seit langer Zeit eingearbeitete Backports.
Die Zahlen des Berichts sind folglich garantiert deutlich zu hoch.
Aber! Wir haben stattdessen ein ganz anderes Problem!
Im April kommt die neue Ubuntu LTE Version und es ist mehr als
überfällig Pläne für die Migration zu machen! Denn diesen Sommer
läuft der Support für den immer noch sehr beliebten PHP 5.3-Branch
endgültig aus und dann gibt es keine Sicherheitsupdates mehr.
PHP 5.4 ist jedoch in den alten Repositories noch gar nicht drin und
wird nachträglich dort auch nicht mehr hineinkommen. Das heißt:
spätestens im Herbst ist jeder Server, der noch nicht auf die neue
Betriebssystemversion und PHP 5.4 migriert wurde, potentiell
gefährdet!
Das bedeutet, diese Migration ist aus Gründen der Sicherheit
eigentlich Pflicht. Aber nur die allerwenigsten Firmen haben
tatsächlich eine Upgradestrategie in der Schublade. Die meisten
scheinen das fällige Update entweder zu verschlafen oder zu
ignorieren. Und somit haben wir spätestens ab Herbst Tausende
potentiell ungepatchte Server im Land, die nicht mehr mit
Sicherheitsupdates versorgt werden.
DAS macht mir tatsächlich sorgen.
(Was diese "Sicherheitsfirma" namens "Imperva" da an Nebelkerzen
zündet halte ich dagegen für Hokus-Pokus)