PHP er benyttes av mer enn 80 prosent av alle nettsteder. Det gjør at sårbarheter i PHP raskt kan bli utnyttet av angripere, noe som betyr at serveradministratorer bør installere sikkerhetsfikser så snart som mulig etter at de foreligger. Dessverre er det mye som tyder på at mange venter lenge med å oppdatere PHP på serverne.

– Tre av fem nettsteder bruker sårbar PHP

Også versjoner som ikke lenger oppdateres.

Det er viktig å installere sikkerhetsoppdateringer til programvare. Ikke minst gjelder dette programvareinstallasjoner som benyttes av mange, ikke bare enkeltbrukere. Serverløsninger som er tilgjengelig for alle, både angripere og vanlige brukere, er kanskje viktigst av alt. De fleste webbaserte tjenester hører hjemme her.

Likevel er det slik at svært mange nettsteder er basert på sårbar programvare – programvare som det ikke bare finnes sikkerhetsoppdateringer til, men som ofte kan oppdateres med svært lite innsats.

Anthony Ferrara, som ifølge Slashdot er en «developer advocate» hos Google, har lagd en oversikt over hvilke versjoner av mye brukte PHP som faktisk blir benyttet, for å se hvor mange nettsteder som benytter en versjon uten kjente sårbarheter. Analysen er basert på tall fra W3Techs, som igjen er hentet fra nettstedene på de ti øverste ti millioner plassene i rangeringen til Amazon-eide Alexa.

Tre sikre utgaver

Ferrara skriver at det i utgangspunktet finnes tre utgaver av PHP uten kjente sårbarheter. Dette er 5.6.4, 5.5.20 og 5.4.36. Alle andre versjoner er i utgangspunktet usikre, men det flere Linux-distributører implementerer nye sikkerhetsfikser også i eldre versjoner. I så fall må disse utgavene være utgitt etter den 18. desember i år, da de siste sikkerhetsfiksene ble utgitt som en del av referanseutgivelsene.

Ferrara har i sin analyse tatt hensyn til dette, at også en del eldre versjonsnumre blir i analysen ansett for å være sikre, selv om det ikke er mulig å se om det dreier seg om en sikker eller usikker utgave PHP med samme versjonsnummer.

Når Ferrara nå fastslår at bare 25.94 prosent av nettstedene benytter en sikker versjon av PHP, så er dette et overdrevet høyt tall. Det vil si at andelen som benytter en sikker versjon av PHP, er enda lavere.

Ifølge W3Techs benyttes en versjon av PHP 5.3 av 45,9 prosent av alle nettstedene som benytter PHP. Det finnes noen mye brukte versjoner av PHP 5.3 som fortsatt vedlikeholdes av de tre vanligste Linux-distribusjonene, som ifølge Ferrara er Debian, Ubuntu og CentOS. Men to av tre nettsteder som benytter PHP 5.3, benytter en annen og usikker versjon av PHP 5.3 enn disse.

Omtrent 20 prosent av nettstedene benytter PHP 5.2, som heller ikke oppdateres av de store distributørene. Ferrara mener man trygd kan konkludere med at samtlige installasjoner er sårbare.

Den nyeste utgaven av PHP, 5.6, benyttes foreløpig ikke av så mange – 0,4 prosent av nettstedene. Men bare 6,7 prosent av disse nettstedene benytter den sikre 5.6.4-utgaven. Resten benytter en sårbar versjon.

Annen programvare

Etter først å ha publisert tallene for PHP, har Ferrara innhentet tilsvarende tall for en del annen åpen kodebasert programvare som ofte benyttes i webløsninger. Tallene viser at nettsteder som benytter Perl eller Python som skriptspråk, i langt større grad sørger for å benytte en sikkerhetsoppdatert utgave av programvaren. 82,27 prosent av nettstedene som benytter Perl og 77,59 prosent av nettstedene som benytter Python, bruker en sikker utgave.

Som tabellen til høyre viser, er det færre som bruker sikre utgaver av webserverne Nginx og Apache HTTP Server. Også andelen sikre WordPress-installasjoner ligger på drøyt 60 prosent, mens andelen som benytter en sikker installasjon av Drupal er en del lavere.

Ingen kommer likevel så dårlig ut som PHP.

Nå har det som nevnt ikke gått mer enn 15 dager siden PHP sist ble oppdatert. Det er til sammenligning betydelig lenger siden både Perl og Python sist ble oppdatert, henholdsvis i september og oktober i fjor, noe som har gitt serveradministrator verden over langt mer tid til å installere de nyeste oppdateringene.

I mange tilfeller vil det være nødvendig med intern testing før man ruller ut nye oppdateringer av programvare. Sånn sett kan Ferraras uttalelse om at dette er fullstendig patetisk, kanskje være en smule virkelighetsfjern. Andelen som bruker forrige PHP-utgivelsene som kom i midten av november, er betydelig høyere.

Det er likevel ikke mer enn 21,7 prosent av alle nettstedene som bruker PHP 5.4, for å ta et utbredt eksempel, som har fått installert én av de to siste sikkerhetsoppdateringene siden den 13. november.

Det kan vanskelig anses som annet en svakt.

Til toppen