本家のお世話-#103。(PHP5.5.13へアップデート)

投稿アップデート情報  追記(6/9)

 PHP5.5.13 が May-28 19:57:18UTC に出ていたので,アップデートした (Windows7HP+SP1(x86)用)。

 ChangeLog によれば, bug #67328 関連の CVE-2014-0237 と bug #67327 関連の CVE-2014-0238 対応のパッチが含まれている。

 php.ini-production には,変更なし。 php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

 ところで, 5/29 には PHP5.6.0 ベータ版の最終バージョンが出るはずだったが,まだ出ていない。なんか手間取ることがあるのかな。それでも PHP5.6 の正規リリースは近いようだ。

追記(6/9):
 6/5 UTC に,PHP 5.6.0beta4 が出た。これがベータ版の最終バージョン。 6/19 UTC に Release Candidate 1 が出る予定のようだ。 RC がいくつまで行くかわからないが, PHP 5.6.0 正規リリース,間近だよ。

「本家のお世話-#103。(PHP5.5.13へアップデート)」への13件のフィードバック

  1. おはようございます。

    昨日記事を読ませていただき、今日webtaticをみたら
    パッケージがありましたのでバージョンアップしました。

    >5/29 には PHP5.6.0 ベータ版の最終バージョンが出るはずだったが
    ベータバージョン3でおわりとおもってましたが、最終バージョンがあったんですね。

    php5.3はおわりましたね。

    1. くりくりさん,こんにちは。

      Latest updates in testing で php55w 5.5.13 が出てたんですね。

      > php5.3はおわりましたね。
      そうですね。 PHP 5.3 Reaching End of Life が出たのが,7/11でしたから,今年の7/10で終了です。もっとも, CentOS のサポートスタンスだと,セキュリティサポートは CentOS6 のサポートが続く限りは提供されるはずだと思って,情報を探しましたが,2次情報しか見つけられませんでした。下記です。一応, CentOS6 上でも標準リポジトリを使っていれば,セキュリティパッチは受け取れそうですね。
      CentOS6.x 標準リポジトリ の PHP 5.3 は、RHELのチームがパッチをバックポートするのでサポートは継続

    2. くりくりさん,こんばんは。

      6/5 UTC に,PHP 5.6.0beta4 が出ました。これがベータ版の最終バージョンということで,予定では, 6/19 UTC に Release Candidate 1 が出る予定のようです。 RC がいくつまで行くかわかりませんが, PHP 5.6.0 間近ですねぇ。

  2. VPSを借りることになりました。
    そこで、nginxでサーバーを動かします。
    phpは5.6はまだわからないので、5.5を使う予定です。

    さて、サイトの高速化を色々やってきたのですが、
    色々なサイトをめぐってクリエイターの人たちのサイトをみたり
    したんですけど、phpバージョンupとかで高速化とかnginxとか
    全然話がでませんね。サイトのつくりかたばっかりで一部.htaccessがあったくらい。

    職種が違うことがわかりますが、そこら辺のアプローチもほしいですね。

    1. くりくりさん,こんばんは。

      VPSはGMOですか。

      > phpは5.6はまだわからないので
      そういえば,予定通りなら,19日UTCに5.6.0RCが出るんでしたね。

      > 職種が違うことがわかりますが、そこら辺のアプローチもほしいですね。
      まぁ,「餅は餅屋」ですから,実際の改善はエンジニアに任せていいと思いますが,いろいろと興味は持ってほしいですよね。それでこそ,餅屋も生きてくるというものです。そのためには,物事に関心がないといけません。
      デザインとは違いますが,セキュリティ関連は,他の人も害をこうむることなので,「わからないから」と言わずに,しなければいけない最低限のことは覚えてほしいとか,過去の職場において,よく思っていました。

  3. こんにちは

    殆どサーバー作り終わりましたというか、結構忙しかったですね。また、wordpressにDOS攻撃。ipが似た感じだったんで、前と同じ奴でしょうね。

    wordpressってDOS攻撃でこわれないんですかね?
    それらしきものはログにでてませんでしたけど・・・。

    しかし、今回は前回よりすごかったです。
    本気でサーバー壊しにきてるのかも?

    攻撃されて壊れたとか経験ないですが、間違いなく
    サーバーの寿命縮めてますね。
    某巨大BBSは攻撃されてよく壊れた話はききますけど。

    >最低限
    自分でサイトを復旧させるくらいの技術は欲しい所。
    ファーストサーバーでCMSの復旧できないことが被害を拡大させたなんてでていましたしね。

    1. くりくりさん,こんばんは。

      なんか,ここのところ大変ですね。この間からお書きの状況だと,問題のサーバは業務用ですか。IPが1個くらいだと,当然個人でしょうが,何を考えてやってるんでしょうか。

      > wordpressってDOS攻撃でこわれないんですかね?
      くりくりさんの頭の中で,WordPressが壊れるというのは,どういう状態を指すのですか。

      私の頭の中では,DoS攻撃って,ファイルの書き換えとかなんとかってものじゃないです。種類というか手法はいろいろあるけれども,現象としては,システムがハングしちゃって,応答不能に陥るような攻撃と認識していました。システムが物理的に壊れるってのも,ハングして再起動のループに陥り,物理的に過負荷になって壊れるみたいに思ってました。違うのかな??

      くりくりさんが,どういう状態を壊れると考えておられるかが不明なので,見当違いの返事になるかもしれませんが,そんなわけで,WordPressが壊れるというのには,あまり関係がないような気がします。まあ,攻撃そのものはファイル書き換えではなくても,ユーザが書き込みをしようとしているときに攻撃と重なって,変なことが起こる可能性はあるでしょうが。

      ハングして再起動のループに陥ったとして,我が家のちゃちなサーバーだと,LANケーブル抜いて電源落しちゃえばいいんですが,ちゃんとしたサーバほどリモートでの操作になるので,そういうのって,難しいんでないですか???
      高負荷が続くと,そのときには壊れなくても,ハードの寿命は縮んで,壊れやすくなるでしょう。リモートでシャットダウンしようとしても,機器が暴走して応答しないで壊れたとかいうような話を,聞いたことがあります。

  4. おはようございます。
    いつも相談に乗っていただきありがとうございます。

    >なんか,ここのところ大変ですね。
    なんかついてませんね。

    >くりくりさんの頭の中で,WordPressが壊れるというのは,どういう状態を指すのですか。

    大量のwordpressを運用する経験はありませんから
    正直予想がつきませんし俺自身も壊れたことがありませんから。曖昧な表現になってしまって申し訳ありません。

    俺もサーバーが物理的に壊れて筐体変更になるだろうと思ってます。しかし、サーバーの構成的は某掲示板とかわらないのでwikiで大量のデータが失われたなんて書いてあると心配をしてしまします。向こうはcgiでこっちはphpが違うだけですから、
    心配しても壊れる物は壊れるし復旧を迅速にかんがえます。

    >高負荷が続くと,そのときには壊れなくても,ハードの寿命は縮んで,壊れやすくなるでしょう。リモートでシャットダウンしようとしても,機器が暴走して応答しないで壊れたとかいうような話

    むしろwordpressよりこっちをきにしたほうがいいかもしれない。
    異常終了でwordpressというかサーバーで動いてるアプリが壊れたという話はみますしね。

    1. くりくりさん,おはようございます。

      > サーバーの構成的は某掲示板とかわらないのでwikiで
      > 大量のデータが失われたなんて書いてあると心配をしてしまします。
      なるほど。
      考えたら,DoS攻撃中もというか,DoS攻撃に対してもというか,サーバは仕事をしようと努力していて変なことになっているわけですから,その途中で,強制終了なんかやれば,ハード的にもソフト的にも,データに影響が出る可能性は,大いにありますね。また,強制終了ではなくても,サーバがアップアップになれば,ファイルのロック/アンロックなんかにも影響があって不具合が起こる可能性もあるでしょうしねぇ。
      大きなところほどバックアップはしっかりしているでしょうが,動くデータの量もケタ違いでしょうから,わずかな時間のバックアップの欠如でも,復旧できないものもあると思います。また,自動バックアップって,設定によっては,データ汚染やデータ破損については逆効果という場合もありますよね。

      考えてたら,頭痛くなってきた(汗)。下手の考え休むに似たりですから,やめますね(笑)。

      ところで,PHP 5.6.0RC1が,予定通り出ましたね。RC2もリリース予定日が出てます。RC,いくつまで出るんでしょうかね。GAは8月でしょうか。

  5. 新機能を色々調べてみました。
    phpdbgが目玉みたいですね。
    デバック機能が強化された感じ?

    まぁ色々強化されるんで楽しみですね。
    >ところで,PHP 5.6.0RC1が,予定通り出ましたね。RC2もリリース予定日が出てます。
    順調ですね。

    >RC,いくつまで出るんでしょうかね。GAは8月でしょうか。
    出る出る詐欺のCentOSで痛い経験してますから、ゆっくりまちます。しかし、こういうのみてるとCentOS7とかどうでもよくなりますよ。php5.4だしな。CentOSのphpはどうでもいいやapache2.4だけ期待しよ。apache2.4とnginxの組み合わせもおもしろそうだな。

    1. くりくりさん,おはようございます。

      > デバック機能が強化された感じ?
      そうなんですか。

      Backward incompatible changesにSSL/TLSの項目がありまして,私は,ここが気になっているんです。うちのサーバ,いまだに,SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failureが解決できていませんで,今,鋭意解決に取り組み中なんですが……(爆)。
      このあたり,自前認証局(当然「よく知られた CA バンドル」に含まれていない)のせいだと思うのですが,この辺のセキュリティもさらに強化されるような書き方なので,少し,勉強して解決に取り組んでおかないと,二進も三進もいかなくなるかもしれません。
      sslv3 alert handshake failureって実はいろいろ種類があるんですね。で,コマンドラインcURLでチェックして,その状態では何とか通るようになったのですが,WordPressのUpgrade Networkではまだ駄目です。client認証の部分でアラートが出てるようです。client認証は,p12形式でブラウザが持っているのですが,WordPressのPHPからの認証はこれではだめで,PEM形式の物を用意してどっかで与えてやらないといけないらしいんです。ってところまでたどり着いたんですが,ここまでも完全にあっているのかどうか不明なので,前途多難です(溜息)。

  6. おはようございます。

    handshake failureを解決されたようですが、
    俺は3desとかネットワークがはじめる前の認証方式でちょっと勉強したくらいです。
    となるとかなり複雑な構成でうごいてらっしゃるんじゃないでしょうか?
    いずれにせよ解決できてよかったですね。

    1. くりくりさん,こんばんは。

      > 3desとかネットワークがはじめる前の認証方式
      なにしろ,学校でも仕事でも,なーんにも習ってませんので,いまだに我流で,めちゃめちゃ泥縄なんです。で,今回みたいに,穴にハマると,大苦労です(滝汗)。

      だいぶ前に,wp-login.phpへのアタックが激しくて規制をかけたついでに, SSL ログインを使い出しまして,サーバ機を xw4200 に戻したのち, wp-config.php に define( ‘FORCE_SSL_ADMIN’, true ); も設定しましたので,現在は,管理画面も全部 SSL での接続になっています。マルチサイトだと,バージョンアップデートごとに,ネットワークアップデートも発生するのですが,管理画面での操作がすべて SSL なもので,ここに今回のことが絡んでたんです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください