PHP 5.6 - veraltet (Evtl. interessant für die ein oder andere Schulhomepage)

    • Offizieller Beitrag

    Beim Stöbern im Netz bin ich auf eine zurückliegende Meldung von www.heise.de gestoßen.
    Dort steht, dass die PHP-Version 5.6 seit dem 31.12. nicht mehr unterstützt wird und keine (Sicherheits-)Updates mehr erhält. Empfohlen wird die aktuelle Version 7.2.
    PHP ist eine Skriptsprache die in Verbund mit einer Datenbank bei einem Großteil der Homepages im Netz für die Generierung der Homepage sorgt.


    Was heißt das konkret für uns? Eigentlich nichts - es sei denn, man ist für die Schulhomepage verantwortlich. Dann sollte man einmal nachschauen, auf welcher PHP-Version die Homepage läuft und schauen, ob und wie man sie updaten kann/soll.


    Nähere technische Details kann vielleicht @Volker_D erklären.


    kl. gr. frosch

  • Danke für das Vertrauen, aber meine PHP-Kenntnisse sind gering.


    Bei meinem Webhoster wurde ich über diesen Sachstand vor ein paar Monaten sowohl per Mail als auch per Blog informiert:
    https://www.goneo.de/blog/2018…i-goneo-im-november-2018/


    Da sich bei mir der Webhoster um die Installation und Wartung von PHP kümmern, brauchte ich nur zwei einfache Punkte druchführen:
    - Nachlesen, ob Contentmanager, Blog, ... neuere PHP Versionen unterstützen. Ggf neuere Versionen des Contantmanagers, Blog, ... installieren und/oder testen, ob es mit der neueren Version läuft.
    - im Menü auf die neue PHP umstellen
    In einfachen Fällen handelt es sich also - je nach Webhoster - um maximal zwei einfache Klicks im Menü des Webhosters.


    Falls man seinen Webserver selbst konfiguriert hat, muss man dann doch etwas mehr Arbeit investieren. Aber ich denke, dass die Lehrer, die den Webserver komplett selbst aufgesetzt haben auch von alleine wissen was sie machen müssen. Sollten Sie feststellen, dass ein Lehrer PHP (bzw. die Homepage) damals aufgesetzt hat und es danach (abgesehen vom Inhalt) nie mehr jemand gepflegt hat, dann besteht das Problem streng genommen nicht erst seit dem 31.12, sondern schon viel länger. Denn kritische Sicherheitspatches für PHP gab es in den letzten Monaten immer wieder. Man muss daher regelmäßig neue Versionen einspielen!
    Da die meisten Lehrer dafür keine Zeit bzw zu wenig Ahnung haben, kann ich nur dringend empfehlen sich einen Webhoster zu suchen, der dies regelmäßig für seine Kunden macht.


    Und dies ist kein theroretisches Problem, sondern sehr erst. So ernst, dass php sogar noch einmal außerplanmäßig ein Update herausgebracht hat:
    http://php.net/ChangeLog-5.php
    Nur so als Hinweis für Ahnungslose: Immer wenn da soetwas wie "fixed Heap Buffer Overflow" steht, dann war das eine potentielle kritische Sicherheitslücke. Angreifer, die ein bischen Ahnung haben, brauchen da also nicht viel ausprobieren und "hacken"; die lesen im Changelog nach wo die Sicherheitslücke besteht und wissen dann auch recht schnell wie man diese Lücke für Angriffe ausnutzt.

  • Aktuell ist 7.3.1, aber die meisten Webhoster haben ein gesteigertes Interesse daran, dass ihre Kunden keine unsicheren Systeme nutzen. All-inkl und Strato haben inzwischen meines Wissens nach alle Kunden auf die aktuellste 7er Version migriert, das dürften die anderen großen auch längst getan haben, da der Support für die Version 5 schon Anfang letzten Jahres ausgelaufen ist (und es keine Version 6 gibt). Und wie @Volker_D schon schreibt: wer den Server selbst administriert oder sogar selbst hostet, der muss ja nicht nur PHP, sondern allgemein den ganzen Webserver aktuell halten (Apache patcht ja auch circa alle 3 Monate)...


    Edit: Hab gerade noch mal nachgeschaut, all-inkl warnt einen bei jedem Login in die Administration, wenn man noch eine veraltete PHP Version aktiviert hat und hat anscheinend im letzten Jahr wiederholt Mails an die Accounts verschickt, auf denen noch die alte Version läuft. Automatische Abschaltung folgt aber erst in den nächsten Monaten.

    If you look for the light, you can often find it.
    But if you look for the dark that is all you will ever see.

    Einmal editiert, zuletzt von Valerianus ()

    • Offizieller Beitrag

    1und1 (unser Webhoster) macht es nicht automatisch. Sie geben nur Hinweise darauf, dass man es machen sollte und das man den php-5-Support von 1und1 kostenpflichtig dazubuchen kann.


    Hier im Kreis scheinen die meisten Grundschulen auch noch unter 5.6 oder noch niedriger zu laufen. Die wurden also scheinbar auch nicht automatisch upgedated. Ist ja auch möglicherweise mit Problemen beim migrieren verbunden.


    kl. gr. frosch

  • Das kannst du üblicherweise aber testen, weil du mehrere Versionen gleichzeitig auf dem Server laufen haben kannst (ich kann bei all-inkl aktuell zwischen 5.6 7.0 7.1 7.2 und 7.3 wählen (wobei hier die ersten beiden Versionen auch veraltet sind)). Also einfach mal auf die aktuelle Version umschalten und schauen, ob es noch läuft.

    If you look for the light, you can often find it.
    But if you look for the dark that is all you will ever see.

    • Offizieller Beitrag

    Ja, das hatte ich bei unserer Schulhomepage auch so gemacht. Das Elternsprechtags-Anmeldeskript muss ich noch anpassen, der Rest (sie läuft unter joomla in der aktuellsten Version) funktioniert (logischerweise). Und Elternsprechtage haben wir derzeit nicht - da habe ich also etwas Zeit mit.


    (Aber wenn ihr noch weitere Tipps habt - ich bin hier im Kreis quasi der "einäugige unter den Blinden" und rechne mit diversen Anfragen anderer Schulleiter zu dem Thema. Mal sehen, ob ich allen helfen kann. ;) )


    kl. gr. frosch

Werbung