Drie vierde PHP-systemen onveilig

Anthony Ferrara, developer advocatebij Google, heeft onderzocht hoeveel PHP-systemen minstens één bekende beveiligingskwetsbaarheid hebben.

Voor de geïnstalleerde versies baseerde hij zich op statistieken van W3Techs en correleerde die met de versies die in bekende Linux-distributies opgenomen zijn. Van elke versie zocht hij dan naar de gevonden beveiligingsfouten. Dan blijkt dat van alle geïnstalleerde Perl-systemen 82% geen enkele bekende kwetsbaarheid bevat. Python doet niet veel slechter met 77% veilige systemen. PHP is de hekkensluiter: slechts 26% van de systemen bevat geen bekende kwetsbaarheid. Ferrara merkt op dat zijn telling tot een overschatting van de veilige systemen leidt: elk systeem met PHP 5.3.3 wordt bijvoorbeeld als ondersteund en veilig beschouwd, omdat CentOS en Debian die versies bevatten. Maar dat wil niet zeggen dat andere 5.3.3-versies wél veilig zijn: zij zijn immers niet meer ondersteund. Ferrara noemt de score van PHP treurig en roept iedereen die PHP draait op om hun geïnstalleerde versie na te kijken en te updaten. Ferrara testte overigens ook enkele content management systems en webservers met deze methode. Wat bleek? Maar 60% van de WordPress-systemen en 45% van de Drupal-systemen zijn veilig en bij Nginx bedraagt dat percentage 64% en bij Apache 62%. Er is dus nog een hoop werk aan de winkel.

http://bit.ly/17KQclF