我的操作系统是Debian 7.9。
我的专用服务器只承载PHP(5.4显然)和一些数据库(MySQL)的网站。 还有像iptables , fail2ban等设置的程序。
我最近做了一个更新,看到PHP 5.4被弃用的警告(是的,我迟到了),我需要更新到5.6,最终从Debian 7.x升级到8.x.
我的问题:
我没有让PHP代码在我的网站上运行,所以我想知道如果我应该遵循一个简单的教程如何更新PHP 5.4到5.6,如果明智(解决安全问题),或者如果它会打破我的网站。
他们甚至build议升级到Debian 8,但是我觉得这会比任何事情带来更多麻烦,而且我没有太多的时间来解决所有会出现的新问题(我需要在线上我的网站)。
我该怎么办? 你有什么build议吗?
以下是DSA-3380中的信息:
请注意老版本(wheezy)的用户:2015年9月14日,PHP 5.4已经达到了使用期限。因此,不会再有新的上游版本。 在Debian的老版本(wheezy)中对PHP 5.4的安全支持将是最好的,强烈build议您升级到最新的Debian稳定版本(jessie),其中包括PHP 5.6。
Debian安全团队通过反向移植最新的安全补丁,同时最大限度地减less不兼容问题,保证整个系统“安全”(只要PHP是人性化的)。 现在,PHP上游没有官方的安全补丁。 因此,Debian安全团队现在需要将更高版本的PHP更新到PHP 5.4。 这可能需要更多的时间,或者根本不可行。
因此,他们build议尽快升级到Debian“Jessie”8(这是目前的stable )。 Debian“Wheezy”7已经很oldstable ,应该还是得到安全团队的支持。 但通常安全团队的支持在stable版发布后大约一年之后结束 。 由于Debian“Jessie”8已经在2015-04-25发布,通常的支持年度可能会在两个月后尽快结束。
之后,应该有一个额外的长期支持(LTS)支持期,在此期间,不同的团队试图在另一段时间内支持该分发。 根据LTS wiki页面 ,LTS团队已经接pipe了Debian“Wheezy”7的安全支持,并将支持到2018年5月。
因此,为了从Debian维护中获益,保证整个系统的安全,您应该尽快升级到Debian“Jessie”。 至less按照我的经验,维护自己的软件安全性要比每隔几年升级一次系统要花费更多的时间。
@aef的回答非常好,但是我还想介绍你提到的另外两件事情。
Debian升级过程相当简单和安全。 使用你所描述的设置和工具,我怀疑你会遇到任何问题,除非你的PHP代码本身与5.6不兼容。 您可以在这里findWheezy to Jessie的官方Debian升级说明。
就PHP而言,5.4到5.5和5.4到5.6是相当安全的。 以下是可能影响典型用户的主要不兼容问题:
json_decode()方法有点严格,不再允许非小写的true , false和null 。 但是这将违反JSON规范,所以只要你的JSON API是兼容的,这将是好的。
Mcrypt模块现在需要有效的密钥和初始化向量。
pack()和unpack()有一些小的改变,与一些使用它的代码不兼容。
php://input现在可以重新使用。
这些是真正的亮点,而且不会影响很多人。 完整的清单在这里和这里 。