Terminato supporto di sicurezza per PHP 5.5, 80% di server a rischio

Da 21 luglio 2016 e’ terminato il supporto di sicurezza al PHP 5.5 (nella sua ultima incarnazione 5.5.38) (fonte Unsupported Branches php.net).

Nonostante cio’ le statistiche di rilevamento, ad ottobre 2016 (fonte W3techs) indicano che oltre l’80% dei server usa versioni non piu’ supportate per la sicurezza, ovvero versioni dalla 5.0 alla 5.5. Solo una piccola percentuale ha adottato le nuove versioni tra cui la 5.6 che ricevera’ supporto fino a dicembre 2018.
Nel frattempo, dal 21 luglio, sono stati scoperti per il PHP 5.6 numerosi nuovi problemi di sicurezza (fonte changelog php.net) che molto probabilmente affliggono anche le versioni precedenti (PHP 5.5, PHP 5.4, PHP 5.3, PHP 5.2, etc.).

bug #73007 (add locale length check). (CVE-2016-7416)
bug #72293 (Heap overflow in mysqlnd related to BIT fields). (CVE-2016-7412)
bug #72928 (Out of bound when verify signature of zip phar in phar_parse_zipfile). (CVE-2016-7414)
bug #73029 (Missing type check when unserializing SplArray). (CVE-2016-7417)
bug #73052 (Memory Corruption in During Deserialized-object Destruction). (CVE-2016-7411)
bug #72860 (wddx_deserialize use-after-free). (CVE-2016-7413)
bug #73065 (Out-Of-Bounds Read in php_wddx_push_element). (CVE-2016-7418)
bug #72663 (Create an Unexpected Object and Don’t Invoke __wakeup() in Deserialization). (CVE-2016-7124)
bug #72681 (PHP Session Data Injection Vulnerability). (CVE-2016-7125)
bug #72627 (Memory Leakage In exif_process_IFD_in_TIFF). (CVE-2016-7128)
bug #72697 (select_colors write out-of-bounds). (CVE-2016-7126)
bug #72730 (imagegammacorrect allows arbitrary write access). (CVE-2016-7127)
bug #72749 (wddx_deserialize allows illegal memory access). (CVE-2016-7129)
bug #72750 (wddx_deserialize null dereference). (CVE-2016-7130)
bug #72790 (wddx_deserialize null dereference with invalid xml). (CVE-2016-7131)
bug #72799 (wddx_deserialize null dereference in php_wddx_pop_element). (CVE-2016-7132)

Si consiglia di provvedere autonomamente agli aggiornamenti dei webserver o affidandosi a servizi offerti da aziende specializzate come SicurezzaRete.com