Ein Hinweis von dictvm auf einen Blogpost bei The Hacker News hat uns aufhorchen lassen: Beware! If you have downloaded PHP PEAR package manager from its official website in past 6 months, we are sorry to say that your server might have been compromised. tl;dr: Der auf pear.php.net bereitgestellte Installer go-pear.phar ist seit rund 6 Monaten kompromittiert. Wenn du den von uns bereitgestellten PEAR-Paketmanager verwendet hast, gibt es - nach derzeitigem Kenntnisstand - insofern keinen Anlass zur Sorge.

Wir haben haben das erste Release von PHP 7 (also die 7.0.0) auf alle unsere Hosts verteilt. Aktiviert werden kann es wie gewohnt: $ echo PHPVERSION=7.0 > ~/etc/phpversion $ killall php-cgi Wichtig: Wer sich eine eigene php.ini angelegt hat, sollte jene durch eine frisch angelegte Version auf Basis der zentralen php.ini ersetzen und ggf. vorgenommene Erweiterungen dort erneut vornehmen, ansonsten dürfte insbesondere der opcache-Support, für den ein Modul über die php.

In der Regel verlaufen unsere PHP-Minor-Updates praktisch unbemerkt; so auch unser gestriges Update von PHP 5.6.10 auf 5.6.12 - unbemerkt, bis auf einen Fall: Die PHP-Applikation eines Users weigerte sich spontan, noch eine Datenbankverbindung mit mysql_connect() aufzubauen, obwohl die Zugangsdaten mehrfach kontrolliert wirklich gestimmt haben. Die erstaunliche Meldung: MySQL server has gone away … und zwar bereits direkt zum Verbindungsaufbau, noch bevor der Client irgendwas an den MySQL-Server gesendet hat. Und jetzt der spannende Teil: Ein Downgrade auf PHP 5.

Wir haben mal wieder einen Schwung PHP-Updates verteilt, und zwar folgende Versionen: 5.6.12 5.5.28 5.4.44 Und außerdem erstmalig mit dabei, Trommelwirbel: 7.0.0RC1 Letzteres ist “bleeding edge” und seitens der PHP-Entwickler ausdrücklich noch nicht für den produktiven Einsatz vorgesehen. Unser Default bleibt insofern auch weiterhin noch die neueste stabile Version 5.6. Wir haben bei den Versionen gegenüber unserer bisherigen Setups ein bisschen getweakt und haben bz2-Support nun direkt einkompiliert, so dass man den nicht mehr via PECL nachinstallieren muss, und aufgrund einiger (weniger) Anfragen auch den gmp-Support aktiviert.

Wir haben auf allen Hosts PHP in den aktuellen Versionen 5.6.6, 5.5.22 und 5.4.38 ausgerollt. Diese Versionen beheben den Use-After-Free-Bug in der Funktion unserialize(). Weitere Informationen gibt’s im Heise Newsticker. Unter Umständen muss die Version noch angepasst werden (schaue im Zweifelsfall mal in deine ~/etc/phpversion und wo du schon mal dabei bist: Wir empfehlen dir ausdrücklich, eine Minor-Version zu wählen, also z.B. PHPVERSION=5.6. Das hat den Vorteil, dass du Bugfix-Releases und Sicherheits-Patches ohne Zutun bekommst und immer auf dem aktuellen Stand bist.

Wir haben PHP nun in den aktuellen Versionen 5.6.5, 5.5.21 und 5.4.37 installiert. $ php -v PHP 5.6.5 (cli) (built: Jan 28 2015 17:45:40) Alle Uberspaces haben die neue Version nun zur Verfügung. Je nachdem, wie genau die Version des Interpreters eingestellt wurde, wird die aktuelle Version bereits verwendet. Du musst also vermutlich nichts weiter tun, um sie zu bekommen. Standardmäßig bleibt Dein Uberspace jedoch erstmal bei genau der Version, die zur Installation aktuell war.