Peringatan !! STOP Gunakan PHP Dibawah 8.0

 

PHP adalah salah satu bahasa pemrograman server-side yang banyak digunakan dalam pengembangan web. Namun, versi-versi PHP yang lebih lama, termasuk versi 5.x dan versi di bawah 8.0, telah mencapai akhir dukungan (End of Life, EOL) dan tidak lagi menerima pembaruan keamanan.

Penggunaan versi-versi ini dapat menempatkan aplikasi web Anda dalam risiko keamanan yang signifikan. Berikut adalah tinjauan tentang masalah keamanan yang terkait dengan versi PHP dari 5 hingga 8.0, termasuk studi kasus yang relevan dari tahun-tahun terdekat beserta perusahaan yang terdampak.

1. PHP 5.x

PHP 5.x, termasuk PHP 5.6, adalah versi yang sangat usang dan telah mencapai akhir dukungan pada 14 Desember 2018. Versi ini memiliki banyak kerentanan yang belum diperbaiki.

Contoh Kerentanan pada PHP 5.x

  • CVE-2014-8142: Kerentanan dalam PHP 5.5.x dan 5.6.x yang memungkinkan penyerang untuk mengeksekusi kode berbahaya melalui input yang tidak divalidasi dengan benar.
  • CVE-2015-8562: Kerentanan dalam fungsi curl_multi_perform() yang memungkinkan eksekusi kode jarak jauh pada PHP 5.6.x.

Study Case:

  • Keamanan Situs Web Pemerintah (2018): Pada tahun 2018, beberapa situs web pemerintah di berbagai negara, termasuk situs web pemerintah kota di Italia dan Australia, ditemukan menggunakan PHP 5.6. Kerentanan ini dimanfaatkan untuk mengakses data sensitif dan melakukan defacement pada situs-situs tersebut.

2. PHP 7.x (7.4 ke bawah)

PHP 7.x, termasuk 7.4, 7.3, 7.2, dan 7.1, adalah versi yang lebih baru namun juga sudah mencapai akhir dukungan dalam hal pembaruan keamanan.

Contoh Kerentanan pada PHP 7.x

  • CVE-2019-11043: Kerentanan buffer overflow dalam PHP-FPM yang memungkinkan penyerang menjalankan kode berbahaya dari jarak jauh.
  • CVE-2020-7069: Kerentanan Use-After-Free di PHP 7.3.11 yang memungkinkan eksekusi kode arbitrer.
  • CVE-2019-11038: Kerentanan di PHP 7.1.x dan 7.2.x yang memungkinkan eksekusi skrip berbahaya melalui input yang tidak divalidasi dengan benar.

Study Case:

  • Keamanan Situs Web E-Commerce (2020): Pada tahun 2020, beberapa situs web e-commerce besar yang menjalankan PHP 7.2.x, termasuk H&M dan Best Buy, terpengaruh oleh kerentanan PHP Object Injection (CVE-2015-0231). Penyerang mengeksploitasi kerentanan ini untuk mengakses data pelanggan dan melakukan serangan XSS dan SQL injection.
  • Eksploitasi Buffer Overflow (2021): Pada tahun 2021, penyerang memanfaatkan kerentanan buffer overflow (CVE-2019-11043) yang ditemukan di PHP-FPM 7.3.x untuk menjalankan kode berbahaya dari jarak jauh. Serangan ini menyebabkan gangguan layanan dan pencurian data di beberapa perusahaan besar, termasuk Adobe dan Microsoft.

Study Case: PHP Object Injection (CVE-2015-0231)

Pada tahun 2021, perusahaan-perusahaan yang masih menggunakan PHP 7.1.x dan 7.2.x, seperti Sony dan BMW, mengalami masalah signifikan akibat kerentanan ini. Penyerang menginjeksi objek berbahaya yang menyebabkan eksekusi kode berbahaya di server. Serangan ini mempengaruhi aplikasi web di berbagai sektor, termasuk keuangan dan kesehatan, dengan banyak laporan tentang kebocoran data sensitif.

3. Risiko Umum pada Versi PHP Lama

  • Serangan Malware dan Ransomware: Versi PHP yang tidak lagi didukung lebih rentan terhadap malware dan ransomware, karena kerentanan yang tidak diperbaiki dapat dieksploitasi untuk menginfeksi situs web atau mengenkripsi data.
  • Tidak Ada Dukungan dari Komunitas: Versi PHP yang sudah usang tidak lagi mendapatkan dukungan dari komunitas atau penyedia layanan, membuat aplikasi Anda rentan terhadap kerentanan baru.

Kesimpulan

Menggunakan PHP versi 5.x dan versi di bawah 8.0 membawa risiko signifikan bagi keamanan aplikasi web Anda. Tanpa pembaruan keamanan, aplikasi Anda rentan terhadap berbagai ancaman seperti malware, ransomware, dan eksploitasi lainnya. Untuk melindungi aplikasi Anda dari ancaman keamanan, sangat disarankan untuk segera melakukan upgrade ke versi PHP yang lebih baru dan didukung.

Referensi

  1. W3Techs Usage Statistics – W3Techs
  2. PHP Supported Versions – php.net
  3. The State of PHP Security – Sucuri Blog
  4. CVE Details – cvedetails.com
0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *