PHP päivitys edessä, 3.3:n valmistautuminen [Käännös]

Alkuperäinen artikkeli löytyy osoitteesta community.joomla.org/blogs/leadership/1798-raising-the-bar-on-security.html

Tietoturvan vaatimukset kasvavat

Joomlan versiosta 3.3 lähtien tulee PHP:n version vähimmäisvaatimus olemaan PHP 5.3.10!
Siinä se on sanottuna! Ei vakavia vammoja? Hyvä, eli tässä koko tarina…

Tämä viesti kattaa seuraavat asiat:
• Miksi vaihtaa juuri nyt?
• Miksi vaatimuksia ei nostettu välittömästi 3.x sarjan alussa?
• Miten tämä vaikuttaa lisäosiin?
• Tuleeko tästä etukäteisvaroitusta? Mitä minun tulisi pitää silmällä?
• tl;dr... entä jos palveluntarjoajani EI ole valmis Joomla 3.3:lle?

Miksi vaihtaa juuri nyt? lienee hyvä paikka aloittaa

Joomla! 3.x –sarja kulminoituu Long Term Stable (LTS)-julkaisuun vuoden sisällä, jonka jälkeen tuki jatkuu ainakin kaksi vuotta. PHP 5.3.x sarjassa tapahtui suuri muutos versioon 5.3.10 siirryttäessä, joka parantaa salasanojen turvaamiseen käytettävää kryptografiaa (salaustekniikkaa) huomattavasti. Ottaen huomioon, kuinka kauan Joomla 1.5 ja 2.5 sivustot tulevat todennäköisesti olemaan kuvioissa, on helppo arvata, että Joomla 3.x –sivustot tulevat myös kestämään huomattavasti pidempään, kuin sarjalle määrätyn kolmevuotiskauden. 3.x –sarjan sivustojen käyttäjät eivät varmasti halua törmätä tietoturvamurtoihin, emmekä me kehittäjät myöskään halua sitä negatiivista julkisuutta, jota saisimme jos jättäisimme tuotteemme huonosti suojatuksi. Murtotekniikoiden kehittyessä olisi hirveä karhunpalvelus jättää hyödyntämättä PHP 5.3.10:n mukana tulevat huomattavat parannukset kryptografia-algoritmeihin siirtyessämme uuteen LTS-julkaisuun.

Tuotannonjohtotiimimme (Production Leadership Team, PLT) olisi voinut valita lähestymistavakseen kirjoittaa ehdollisia testejä, sekä käyttää jokaisen palvelimen PHP-ominaisuuksille sopivaa ohjelmakantaa. He kuitenkin valitsivat toisin. Tietoturva on nykyiselläänkin hyvin monimutkaista, sisältäen paljon kehittynyttä koodia. Ominaisuuden, joka sallisi toimivuuden kolme vuotta sitten toiminnasta poistuneille palvelimille, lisääminen olisi huomattava isku suorituskyvylle jokaiselle käyttäjälle. PLT ei halunnut tehdä tätä vain tukeakseen joitakin harvoja vanhempia, päivittämättömiä palveluntarjoajien palvelimia. Sen sijaan päätimme tuoda tämän turvallisemman salasanasuojauksen kaikille osana 3.3-päivitystä, jotta se olisi osa 3.x –sarjan siirtymistä LTS-julkaisuun, ollen näin oletusarvoisesti käytössä kaikille 3-sarjan sivustoille.

Sivustojen turvallisuus on tämänhetkinen kuuma peruna, joka on kaikkien mielessä Target-kauppaketjun luottokorttitietomurron ja Adoben tilaajien salasanaongelmien uutisoinnin takia. Näin jopa CMS-sivustojen omistajat ovat alkaneet kyseenalaistaa sivustojensa turvallisuutta. Joomla! on aina ottanut tietoturvan tosissaan, jopa siinä määrin, että lähes vuosi virallisen toimintakautensa jälkeen ovat 1.5-sarjan 1.5.26-sivustot edelleen varsin turvallisia, olettaen että tuoreimmat toimintakauden jälkeiset päivitykset on asennettu. Viime viikon uutisoinnit suurien palveluntarjoajien tekemistä sivustojen sulkemisista johtui palveluntarjoajien levittämistä perättömistä FUD:sta (Fear, Uncertainty and Doubt = pelko, epävarmuus ja epäilys) väitteistä löytämistään tietoturvariskeistä, jotka ilmenivät vain 1.5-sarjan sivustoissa, joita EI oltu päivitetty uusimpaan julkaisuunsa ja päivitykseensä, sekä riskeistä, jotka koskevat KAIKKIA ohjelmia, jotka vielä käyttävät PHP:n versiota 5.2!

Onko tästä muutoksesta muuta iloa? 3.2-julkaisussa lisättyjen ominaisuuksien ja 3.3-julkaisuun tulevien ominaisuuksien kanssa tarjoamme käyttäjille yhden turvallisimmista CMS-ratkaisuista markkinoilla.

Olisiko rima pitänyt nostaa korkeammalle 3.x-sarjan julkaisun alussa?

Ehkä, varsinkin jos olisimme tienneet silloin, mitä tiedämme nyt. Kesällä 2012 haasteenamme oli ennustaa PHP:n vähimmäisvaatimukset, joita kehittäjät tarvitsisivat syksyyn 2014 mennessä 3.x-sarjan siirtyessä LTS-julkaisuun. Tämä vaatii melkoista kristallipalloa! 1.5- ja 2.5-sarjojen aikaan niitä varten tehdyt arviot osuivat kohdalleen hämmästyttävän hyvin.

Yksi haasteista, johon törmäsimme viime marraskuussa 3.2-julkaisun tietoturvapäivitysten aikana, oli tieto siitä, kuinka monet suuret palveluntarjoajat käyttivät palvelimillaan erittäin vanhentunutta ohjelmistoa. Paljastui myös, ettei lähes kellään testaajistamme ollut käytössään niin vanhoja palvelimia, jotta olisimme voineet havaita hyvin vanhojen PHP-versioiden aiheuttamat ongelmat osana testausprosessia. Vaikka kuinka haluaisimme Joomlan olevan asennettavissa mahdollisimman monelle palveluntarjoajalle ja palvelimelle, on tilanne hyvin samankaltainen, kuin IE6:den tukemista lopetettaessa. On tullut aika päästää ohjelmistomme irti näistä kahleista tietoturvansa suhteen, unohtaen vihdoin nuo kaikista jälkeenjääneimmät palveluntarjoajat sivustoineen.

Uteliaisuudesta, kuinka vanha on vanha?

Yksityiskohtia. Tuorein PHP:n julkaisu on versio 5.5.8. PHP 5.2 saavutti elinkaarensa lopun tammikuussa 2011; tästä on jo kolme vuotta, mutta vieläkin jotkin Joomla! 1.5-sivustot käyttävät sitä! Joomlan 3-sarjan ilmestyessä 2012 asetimme PHP:n vähimmäisversioksi version 5.3.1, joka julkaistiin marraskuussa 2009, ja joka oli käytössä maaliskuuhun 2010. Tämän muutoksen myötä vaatimamme PHP:n versio on 5.3.10, joka julkaistiin helmikuussa 2012, ja joka oli nykyinen julkaisu huhtikuuhun 2012. Tämä ongelma koskee siis palvelimia, jotka ovat olleet toiminnassa päivittämättömänä ennen tuota päivämäärää.

Miten tämä vaikuttaa lisäosiin?

Ei mitenkään, niiden ei ainakaan pitäisi. Suunnittelutasolla 3.x-sarjan pitäisi olla taaksepäin yhteensopiva ensimmäisestä 3.0-julkaisusta LTS-julkaisuun 3.5. Näin lisäosien kehittäjillä ei pitäisi olla liikkuvaa kohdetta päivitettyään tuotteensa toimimaan 3.x-sarjan API:n kanssa.

Tämä ilmoitus ei aiheuta yhteensopivuusongelmia hyvin kirjoitettujen lisäosien kanssa. Kaikkien lisäosien, jotka oikeaoppisesti käyttävät 3.x-sarjan APIa, tulisi toimea moitteetta päivityksen jälkeen. Ne harvat lisäosat, jotka osittain korvaavat Joomlan ydintilien luonnin ja sisäänkirjautumisliitännäiset omilla tietoturva-asetuksillaan ja tunnistautumisillaan, tulisi testata kehittäjätasolla yhteensopivaksi ennen version 3.3 julkaisua.

Tuleeko tästä etukäteisvaroituista? Mitä minun tulisi pitää silmällä?

Kyllä, seuraava 3.x-julkaisu, Joomla! 3.2.2, pyritään julkaisemaan ensiviikolla, ja asennuksen yhteydessä se testaa palvelimesi PHP-version. Jos versio ei ole PHP 5.3.10 tai uudempi, asennuksessa tulee jälki-ilmoitus, joka sanoo, että palvelimesi ei ole Joomla! 3.3-valmiudessa. Jos ilmoitusta ei tule, kaikki on hyvin!

Jos haluat tarkistaa asian heti, kirjaudu ylläpitopuolelle ja valitse Järjestelmä -> Järjestelmän tiedot -> PHP-tiedot ja näet palvelimesi PHP:n version.

Mitä, jos palveluntarjoajani ei ole 3.3-valmiudessa?

Ensinnäkin sivustollesi ei koidu tästä mitään ongelmia. Versiosta 3.2.2 alkaen on päivitysjärjestelmässä uusi ominaisuus, joka testaa PHP:n version ennen päivityksen ajamista, ja ne osat, jotka vaatisivat uudempaan PHP:n versiota, ei yksinkertaisesti asenneta. 3.3-version julkaisun jälkeen Joomla! Project tulee myös julkaisemaan tietoturvapäivityksiä sekä versiolle 3.2, että 3.3(myös 2.5) kuuden kuukauden ajan, joten mahdolliset tietoturvaongelmat voidaan korjata yhden painalluksen päivityksellä, ilman että olisi välitöntä tarvetta päivittää versioon 3.3, joten ehdit pyytämään palveluntarjoajaasi päivittämään käytössä olevan PHP:n versionsa kuntoon. Muista kuitenkin, että tämä varoaika kestää vain tuon kuusi kuukautta, jonka jälkeen sinun tarvitsee päivittää versiosta 3.2, jos haluat saada tietoturvapäivityksiä jatkossakin.

Sinulla on kaksi vaihtoehtoa. Helpointa on pyytää palveluntarjoajaasi siirtämään sivustosi palvelimelle, jolla on käytössä vähintään versio 5.3.10 PHP:sta. Jos tämä ei ole mahdollista, tai jollet luota heidän ylläpitonsa ja huoltonsa tasoon, on sinulla rutkasti aikaa etsiä parempi palveluntarjoaja, jonka päivitykset ovat kunnossa. Sinulla on aikaa lokakuun 2014 saakka ratkaista tämä tilanne, jolloin voit yhdellä painalluksella siirtyä onnelliseksi 3.x LTS-julkaisun käyttäjäksi sen tullessa tarjontaan.

Kysymyksiä tai mielipiteitä? Osallistu keskusteluun osoitteessa http://forum.joomla.org/viewtopic.php?f=704&t=833872

Kiitokseni Duke Speerille, markkinointiryhmälle ja Joomlan johtoryhmälle heidän avustaan tämän artikkelin valmistelussa.

Kuten Kharaduksen kääntämästä artikkelista käy ilmi, ennen Joomla 3.5 (LTS) julkaisua julkaistaan vielä Joomla 3.3. (STS). Joomla 3.3 julkaistaan tänä keväänä ja Joomla 3.5 suunniteltu julkaisuajankohta on lokakuu 2014.

Saamme asiasta varmaan pian tarkempia tietoja.

Hyvä ja ajankohtainen artikkeli jälleen suomennettu. Mitä tulee noihin Joomla versiointeihin tulee, niin itse olen jo tavallaan "jättänyt" niiden seurannan. 3.x versioiden pitäisi kaikkien periaatteessa olla yhteensopivia, joten varmuuskopiot kuntoon ja päivittää vain sitä mukaa kuin päivityksiä tulee.

Tuo PHP vähimmäisvaatimus on myös ihan tervetullut uudistus. Saadaan samalla vähän "painetta" palveluntarjoajien suuntaan, jotta päivittävät ohjelmistojaan.

Se suurin valitus kai on, että monissa Linux paketeissa, joita palvelimilla on, on käytössä jokin vanhempi PHP 5.3 versio, johon on sitten lisätty tietoturvapäivityksiä uudemmista versioista. Vaikka niissä olisikin se 5.3.10 version päivitys lisättynä, ne eivät silti läpäise versio tarkistusta.

Sinänsä 5.3.10 on ihan hyvä vaatimus. Katsoin muutoslokista ja sen yhden ja ainoan muutoksen kuvaus alkaa "Fixed arbitrary remote code execution vulnerability". En tiedä yksityiskohtia, mutta "arbitrary remote code execution" ei vaikuta kovin haluttavalta asialta verkkopalvelimella. Varsinkaan, jos hakkerit ovat kyseisestä ongelmasta tienneet jo kaksi vuotta... (päiväys 2/2/2012)

mirkoe kirjoitti: ---
Tuo PHP vähimmäisvaatimus on myös ihan tervetullut uudistus. Saadaan samalla vähän "painetta" palveluntarjoajien suuntaan, jotta päivittävät ohjelmistojaan.

Varmaan useimmilla verkkopalvelimilla tuo php-versio on kunnossa. Lokaalin palvelimen (esim. Wampserver) käyttäjien kannattaa myös tarkistaa sen käyttämä php-versio. Voi olla päivittäminen edessä.