我的操作系统是 Debian 7.9。
我的专用服务器仅托管一个 PHP 网站(据说是 5.4)和一些数据库(MySQL)。还安装了 、 等iptables
程序。fail2ban
我最近进行了更新,看到有关 PHP 5.4 已被弃用的警告(是的,我迟到了),我需要更新到 5.6 并最终从 Debian 7.x 升级到 8.x。
我的问题:
我没有在我的网站上运行 PHP 代码,所以我想知道我是否应该按照有关如何将 PHP 5.4 更新到 5.6 的简单教程进行操作,这是否明智(以修复安全问题)或者它是否会破坏我的网站。
他们甚至建议升级到 Debian 8,但我觉得这会带来更多麻烦,而且我没有太多时间来解决出现的所有新问题(而且我需要我的网站上线)。
我该怎么办?请问您有什么建议吗?
答案1
以下是DSA-3380说:
oldstable 发行版 (wheezy) 用户请注意:PHP 5.4 已于 2015 年 9 月 14 日终止使用。因此,将不再有新的上游版本。Debian oldstable (wheezy) 中对 PHP 5.4 的安全支持将尽最大努力,强烈建议您升级到最新的 Debian 稳定版本 (jessie),其中包括 PHP 5.6。
Debian 安全团队通过反向移植最新的安全补丁,同时尽量减少不兼容性,保证整个系统“安全”(在 PHP 所能允许的范围内)。现在 PHP 上游不再提供官方安全补丁。因此,Debian 安全团队现在需要将更高版本的 PHP 安全更新调整回 PHP 5.4。这可能需要更多时间,甚至可能根本不可行。
stable
因此他们建议你尽快升级到 Debian “Jessie” 8(当前版本)。Debian “Wheezy” 7oldstable
仍应得到安全团队的支持。但通常stable
安全团队的支持在发布后大约一年结束。 作为Debian “Jessie” 8 已于 2015-04-25 发布通常一年的支持可能最快在两个月后就结束。
此后,应该会有一个额外的长期支持 (LTS) 支持期,在此期间,另一个团队会尝试在另一段时间内支持该发行版。根据LTS 维基页面目前,LTS 团队已经接管了 Debian “Wheezy” 7 的安全支持,并将支持至 2018 年 5 月。
因此,为了从 Debian 维护中获益,保证整个系统的安全,您应该尽快升级到 Debian“Jessie”8。至少根据我的经验,自己维护软件的安全性比每隔几年升级一次系统要耗费更多时间。
答案2
@aef的回答很棒,但我还想谈谈你问的另外两件事。
Debian 升级过程相当简单和安全。使用您描述的设置和工具,我怀疑您不会遇到任何问题,除非您的 PHP 代码本身与 5.6 不兼容。您可以找到 Wheezy 升级到 Jessie 的官方 Debian 升级说明这里。
就 PHP 而言,5.4 至 5.5 和 5.4 至 5.6 相当安全。以下是可能影响普通用户的主要不兼容性:
这
json_decode()
方法稍微严格一些,不再允许使用非小写的true
、false
和null
。但这违反了 JSON 规范,因此只要您的 JSON API 符合要求,就可以了。这
Mcrypt
模块现在需要有效的密钥和初始化向量。pack()
并且unpack()
进行了一些小改动,这些改动与使用它的某些代码不兼容。php://input
现在可以重复使用。