Mais de 78 por cento de todas as instalações PHP estão rodando com pelo menos uma vulnerabilidade de segurança conhecido, um pesquisador encontrou.
Google desenvolvedor advogado Anthony Ferrara chegou a esta desagradável conclusão , correlacionando as estatísticas do site de pesquisa web W3Techs com listas de vulnerabilidades conhecidas em várias versões do PHP.
O que ele descobriu é que muitos, muitos sites movidos a PHP estão usando versões inseguras do intérprete - tanto que na verdade é mais fácil encontrar uma configuração PHP inseguro na internet do que uma segura.
"Isso é absolutamente e inequivocamente patético", escreveu Ferrara.
Os dois lançamentos mais populares PHP, de acordo com estatísticas 'W3Techs, eram versões 5.2.17 e 5.3.29. Juntos, eles foram responsáveis por 24 por cento do total - e ambos são inseguras.
Mais ao ponto, Ferrara descobriram que, para cada versão principal do PHP de 5,3 por 5,6, apenas um pequeno número de versões menores não são conhecidos por conter eventuais vulnerabilidades, mas a maioria dos sistemas não estão executando essas versões seguras.
Nos resultados de Ferrara, 93,3 por cento de todas as instalações 5.6.x PHP eram inseguros, 63,4 por cento das instalações PHP 5.5.x eram inseguros, 89,6 por cento das instalações PHP 5.4.x eram inseguros, e 66,1 por cento dos 5.3.x PHP As instalações eram inseguros.
Como para PHP 5.2, basta escrevê-lo fora. Não há versões de que ramo são consideradas seguras.
Curiosamente, no entanto, PHP 5.1 realmente se saíram muito bem. Totalmente 94,8 por cento de todas as instalações PHP 5.1 foram executando uma versão segura, de acordo com números 'W3Techs. Mas não importa que - PHP 5.1 é de nove anos de idade, e apenas 1,2 por cento dos locais pesquisados ainda estavam executando-o.
Isso não quer dizer, é claro, que nenhum dos outros pacotes de software que o poder da internet conter vulnerabilidades. Ferrara descobriu que, da mesma forma, 38 por cento dos sites executando o servidor web Apache eram inseguros, como foram de 36 por cento dos sites de correr Nginx, 22 por cento dos sites com o Python, e 18 por cento dos sites com o Perl.
Mas registro de segurança surpreendentemente ruim do PHP realmente levou o bolo no estudo de Ferrara. Acrescente a isso as aplicações que rodam em cima do PHP - 55 por cento do Drupal instala tinham suas próprias falhas de segurança, assim como 40 por cento do Wordpress instala - e quase se poderia dizer que qualquer servidor que execute a linguagem é apenas um exploit à espera de acontecer.
A menos, claro, acontecer de você ser um daqueles poucos felizardos que estão executando uma versão hermético. As versões mais recentes do PHP 5.4, 5.5 e 5.6 são tudo pensado para ser seguro.
"Verifique as versões instaladas," Ferrara pediu. "Empurre para as pessoas para atualizar. Não aceite" se funciona, não corrigi-lo. " ... Você tem o poder de mudar isso, então alterá-lo. A segurança é um problema de todos. O que importa é como você lida com isso. " ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário