Pagina's: [1]

Auteur Topic: Bug in PHP 7.2 en 7.3  (gelezen 1069 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 177
  • -Ontvangen: 2627
  • Berichten: 16.277
Bug in PHP 7.2 en 7.3
« Gepost op: 27 oktober 2019, 17:47:05 »
In deze twee PHP versies zit een ernstige bug in de module 'PHP-FPM' , in combinatie met de Nginx webserver. (security.nl)


De PHP-FPM zit niet standaard bij alle PHP instals, maar als ik de php-info opvraag op mijn nas, zie ik dat deze wel bij het syno pakket gebruikt wordt.

Tot Synology een update uitbrengt is het beter geen Nginx te gebruiken maar Apache of PHP 5.6 te gebruiken, die wel veilig is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 63
  • Berichten: 490
Re: Bug in PHP 7.2 en 7.3
« Reactie #1 Gepost op: 28 oktober 2019, 12:43:40 »
PHP 7.3 in combinatie met Apache HTTP server 2.2 kan dus wel?
  • Mijn Synology: DS218+
  • HDD's: 2 * WD30EFRX (SHR)
  • Extra's: RT2600ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 177
  • -Ontvangen: 2627
  • Berichten: 16.277
Re: Bug in PHP 7.2 en 7.3
« Reactie #2 Gepost op: 28 oktober 2019, 12:51:55 »
Ja. De bug zit blijkbaar in alle versies van PHP, maar is alleen uit te buiten met PHP 7.0 en hoger in combinatie met Ngninx. En nog een paar voorwaarden.

Maar in die voorwaarden zou ik alleen duiken als je al de kwetsbare configuratie gebruikt.

Wel grappig dan je met de niet meer ondersteunde PHP 5.6 veiliger bent dan met de nieuwste 7.3 versie van Synology. Het zou kunnen dat de Synology versie in de standaard configuratie nog steeds niet aan alle voorwaarden voldoet en dat Synology dan besluit om geen haast te maken met een update.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 63
  • Berichten: 490
Re: Bug in PHP 7.2 en 7.3
« Reactie #3 Gepost op: 28 oktober 2019, 12:58:57 »
Op mijn vraag over mailstation heeft Synology laten weten over te stappen naar php 7.2 in DSM 7.0 beta
  • Mijn Synology: DS218+
  • HDD's: 2 * WD30EFRX (SHR)
  • Extra's: RT2600ac

Offline bartmans99

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 87
  • Berichten: 681
    • http://www.jvwgoirle.nl
Re: Bug in PHP 7.2 en 7.3
« Reactie #4 Gepost op: 30 oktober 2019, 14:02:01 »
Nou, zelfs met deze bug is PHP 5.6 niet veilig(er). End-of-line 31 december 2018, sindsdien geen nieuwe patches meer en ook inherent al minder veilig dan PHP 7>.

Voor intern gebruik op een NAS maakt het niet uit, maar voor public facing sites is PHP 5.6 echt niet aan te raden, icm welke webserver dan ook.

Synology zou daarom ook voor alle packages naar 7.3 moeten gaan imho.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 177
  • -Ontvangen: 2627
  • Berichten: 16.277
Re: Bug in PHP 7.2 en 7.3
« Reactie #5 Gepost op: 30 oktober 2019, 15:07:23 »
Zolang er in versie 5.6 nog geen nieuwe bug ontdekt is, is hij misschien zelfs veiliger omdat er langer de tijd was om bugs te vinden. Nieuwere versies introduceren altijd weer nieuwe bugs.

De belangrijkste reden om nu over te stappen op een nieuwe versie is dat je nu de tijd hebt om alles aan te passen. Als er nu nog een bug in 5.6 gevonden wordt, zul je wel snel moeten overstappen.

En zelfs een end-of-life product kan nog door anderen gepatched worden. Het is ten slotte open source. Ik heb begrepen dat dit in het verleden ook gebeurd is met oudere php versies die onderdeel van pakketten waren. Hoewel ik niet verwacht dat Synology dat gaat doen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac
Pagina's: [1]