PHP ออกเวอร์ชัน 8.3 ตามนโยบายการออกรุ่นใหม่ปีละ 1 ครั้งช่วงปลายปี มีของใหม่ที่ระดับของตัวภาษาหลายอย่าง

WordPress ออกเวอร์ชัน 6.3 โค้ดเนม Lionel ตั้งชื่อตามนักดนตรีแจ๊ซ Lionel Hampton ของใหม่ที่สำคัญในเวอร์ชันนี้ได้แก่

สัปดาห์ที่ผ่านมา PHP ออกเวอร์ชัน 8.2 ตามนโยบายการออกรุ่นใหญ่ปีละ 1 รุ่น ของใหม่ที่สำคัญในระดับของภาษาได้แก่

• readonly class เป็นการใส่ readonly modifier เพื่อป้องกันการสร้าง dynamic properties ให้คลาสนั้น
• กำหนดตัวแปร stand-alone เป็น null, false, true ได้แล้ว
• เพิ่มส่วนขยาย Random Number Generators ตัวใหม่
• ประกาศเลิกใช้ (deprecated) การทำ dynamic properties

ฟีเจอร์ทั้งหมดดูได้จาก PHP 8.2

โครงการ PHP ประกาศว่า PHP 7.4 เวอร์ชันสุดท้ายของสาย PHP 7.x สิ้นระยะซัพพอร์ตแล้วในวันนี้ 28 พฤศจิกายน 2022 เท่ากับว่าจากนี้ไปจะเหลือ PHP 8.x เท่านั้นที่ยังอยู่ในระยะซัพพอร์ต

ช่วงหลัง PHP มีนโยบายออกรุ่นปีละ 1 ครั้งช่วงปลายปี แต่ละรุ่นมีระยะเวลาซัพพอร์ตนาน 3 ปีเต็ม โดย PHP 7.4 ออกเมื่อวันที่ 28 พฤศจิกายน 2019 ถือว่าครบ 3 ปีพอดีในวันนี้

ตอนนี้เวอร์ชันล่าสุดของ PHP คือ 8.1 จะหมดระยะซัพพอร์ตวันที่ 25 พฤศจิกายน 2024 และโครงการกำลังจะออก PHP 8.2 ในวันที่ 8 ธันวาคมนี้

QNAP แจ้งเตือนช่องโหว่ CVE-2019-11043 ของ PHP 7.x ที่เมื่อบั๊กนี้เจอกับคอนฟิก nginx บางรูปแบบก็จะเปิดช่องโหว่รันโค้ดระยะไกล เปิดทางให้แฮกเกอร์เข้ายึด NAS ของเหยื่อได้

ช่องโหว่นี้ทาง PHP แก้ไขไปตั้งแต่ปี 2019 แต่ทาง QNAP ไม่ได้อัพเดต อย่างไรก็ดีทาง QNAP ระบุว่า ค่าเริ่มต้นของ QNAP ไม่ได้ติดตั้ง nginx มาแต่แรก (เว็บเซิร์ฟเวอร์มาตรฐานเป็น Apache 2) และตอนนี้ก็เริ่มปล่อยแพตช์ให้ QTS 5.0 และ QuTS hero h5.0 แล้ว ส่วนเวอร์ชั่นอื่นๆ กำลังอยู่ระหว่างปล่อยอัพเดตต่อไป

สัปดาห์ที่ผ่านมามีรายงานถึงการอัพเดตแพ็กเกจโอเพนซอร์สที่ไม่ได้อัพเดตมานานหลายปีแล้ว สองแพ็กเกจ คือ ctx ในภาษา Python และ phpass ในภาษา PHP กลับถูกอัพเดตขึ้นมา และแทรกโค้ดขโมยกุญแจ AWS เข้ามาด้วย

เวอร์ชั่นมุ่งร้ายของแพ็กเกจทั้งสองจะหา environment variable สองตัว คือ AWS_ACCESS_KEY และ AWS_SECRET_KEY เพื่อส่งกลับไปยังแอป Heroku ของคนร้าย ตอนนี้ยังไม่มีรายงานว่ามีเหยื่อถูกโจมตี AWS ด้วยแนวทางนี้มากน้อยแค่ไหน

Jordy Zomer นักวิจัยความปลอดภัย รายงานถึงช่องโหว่ในฟังก์ชั่น filter_var ของภาษา PHP ที่มีช่องโหว่ทำให้การกรองข้อมูลตอบว่ากรองสำเร็จแม้ที่จริงไม่ได้กรองก็ตาม

Zomer ระบุว่าแจ้งทีมงาน PHP ไปแล้วหลายครั้งแต่ไม่ได้รับการตอบรับ แม้จะให้แพตช์แก้ช่องโหว่ไปด้วย จึงตัดสินใจเปิดเผยช่องโหว่นี้ต่อสาธารณะ (เขาไม่ได้ให้ timeline ว่าติดต่อไปยังทีมงานช่วงเวลาใดบ้าง) ทางด้านโครงการ PHP เองช่วงหลังประสบปัญหานักพัฒนาหลักลาออก อาจจะกระทบต่อการตอบรับรายงานของนักวิจัยภายนอก

Laravel เฟรมเวิร์ค PHP ยอดนิยมออกเวอร์ชั่น 9.0 รุ่นซัพพอร์ตระยะยาวจนถึงปี 2025 พร้อมกับปรับรอบการออกเวอร์ชั่นต่อไปให้เหลือปีละเวอร์ชั่นจากเดิมออกทุก 6 เดือนล้อไปกับ Symfony

จุดเปลี่ยนสำคัญคือ PHP ต้องเป็น 8.0 ขึ้นไปเท่านั้น นับเป็นเวอร์ชั่นแรกที่หยุดซัพพอร์ต PHP 7 ฟีเจอร์ใหม่ๆ เช่น Laravel Breeze มี API สำหรับใช้งานกับเฟรมเวิร์คจาวาสคริปต์อย่าง Nextjs หรือ Nuxtjs, หน้าจอ Exception ใหม่มี dark mode, โปรแกรม command line แสดง route ได้สวยงามขึ้น และแสดงความครอบคลุมชุดทดสอบได้ในตัว

ตัว Laravel 9 จะมีแพตช์ความปลอดภัยไปจนถึงปี 2025 ขณะที่ Laravel 6 ตัว LTS ก่อนหน้าจะมีแพตช์ความปลอดภัยไปจนถึงเดือนกันยายนนี้ นักพัฒนาจะมีเวลาประมาณครึ่งปีเพื่อย้ายระบบ

PHP ออกรุ่น 8.1.0 หลังจาก 8.0.0 หนึ่งปีพอดี โดยมีฟีเจอร์ใหม่ๆ หลายอย่าง เช่น

กลุ่มบริษัทไอที 10 บริษัทประกาศร่วมก่อตั้ง PHP Foundation องค์กรกลางสำหรับดูแลภาษา PHP เต็มเวลา หลังจาก Nikita Popov นักพัฒนาหลักของ PHP ที่ทำงานกับ JetBrains ลาออกจากบริษัทและหันไปทำงานในโครงการ LLVM เป็นหลัก

บริษัทที่ร่วมก่อตั้งมูลนิธิครั้งนี้ได้แก่ Automattic (Wordpress), Laravel, Acquia (Drupal), Zend, Private Packagist, Symfony, Craft CMS, Tideways, PrestaShop, และ JetBrains โดยคาดว่าจะระดมทุนเป็นงบประมาณสำหรับนักพัฒนาหลักได้ปีละ 300,000 ดอลลาร์ เบื้องต้น JetBrains ประกาศว่าจะสนับสนุนปีละ 100,000 ดอลลาร์

Google Cloud Functions บริการ Function as a Service (FaaS) หรือบ้างก็เรียกการประมวลผลแบบ serverless ประกาศรองรับภาษา PHP แล้ว โดยจะเป็น PHP เวอร์ชัน 7.4 และยังมีสถานะเป็น public preview

PHP นับเป็นภาษาที่ 7 ที่ใช้งานกับ Cloud Functions ได้ โดยภาษาที่รองรับมาแล้วก่อนหน้านี้คือ Node.js, Python, Go, Java, .NET, Ruby

การรองรับ PHP ยังทำให้ Cloud Functions เป็นบริการ serverless ตัวแรกที่รองรับภาษานี้ด้วย เพราะคู่แข่งโดยตรงทั้ง AWS Lambda และ Azure Functions ยังไม่รองรับ PHP ทั้งคู่

โครงการ PHP ถูกแฮกเซิร์ฟเวอร์ Git ส่ง commit เข้ามาในระบบได้สองครั้ง โดยโค้ดที่คนร้ายยิงเข้ามาเป็นโค้ดที่ตรวจสอบค่า User Agent จาก HTTP header หากพบว่าขึ้นต้นด้วยคำว่า "zerodium" ก็จะรันโค้ดด้านในสตริง

ตอนนี้ทีมงาน PHP ยังสอบสวนอยู่ว่าโค้ดนี้ถูกส่งเข้าเซิร์ฟเวอร์ได้อย่างไร แต่ทีมงานก็ตัดสินใจว่าไม่สามารถดูแลเซิร์ฟเวอร์ Git เองได้อีกต่อไปแล้ว และตัดสินใจย้าย repository ไปใช้ GitHub เป็นหลักแทน

เดิม PHP ใช้ GitHub เป็น repository สำรองเพื่อสำเนาข้อมูลจากเซิร์ฟเวอร์ของตัวเองเท่านั้น การย้ายเซิร์ฟเวอร์มาเป็น GitHub ครั้งนี้ทำให้นักพัฒนาบางส่วนต้องขอสิทธิ์ commit กันใหม่

PHP ออกรุ่น 8.0 ตัวจริง หลังจากเริ่มออก Alpha 1 เมื่อกลางปีที่ผ่านมา โดยมีฟีเจอร์สำคัญๆ ที่ทำให้การพัฒนาเปลี่ยนไปหลายอย่าง เช่น

ใกล้ความจริงมาเรื่อยๆ กับ PHP 8.0 ที่มีกำหนดออกตัวจริงภายในปีนี้ ล่าสุดโครงการ PHP ออก PHP 8.0 Release Candidate 1 (RC1) มาแล้ว

ของใหม่ใน PHP 8.0 มีหลายอย่าง เช่น Attributes, Union, ValueError, JSON อ่านรายละเอียดในข่าว PHP 8.0 Alpha 1

ตามกำหนดของโครงการ PHP วางแผนจะมีรุ่น RC ทั้งหมด 4 ตัว และออก PHP 8.0 ตัวจริง (GA) ในวันที่ 26 พฤศจิกายน 2020

ไมโครซอฟท์ส่งอีเมลแจ้งเข้ากลุ่มนักพัฒนา PHP ว่าจะหยุดซัพพอร์ต PHP บนแพลตฟอร์มวินโดวส์ มีผลนับตั้งแต่ PHP 8.0 (ปัจจุบันเป็น Alpha 1) เป็นต้นไป

ปัจจุบัน ไมโครซอฟท์เป็นผู้ดูแลโครงการ PHP For Windows บนเว็บไซต์ PHP.net และทำหน้าที่พัฒนา-ออกไบนารีของ PHP เวอร์ชันวินโดวส์ (php.exe) ตามอัพเดตทุกเวอร์ชันย่อย

ไมโครซอฟท์ไม่ได้ระบุเหตุผลที่หยุดออกไบนารีของ PHP 8.0 บนวินโดวส์ แต่สัญญาว่าจะยังออกไบนารีของ PHP 7.2, 7.3, 7.4 ไปจนหมดระยะเวลาซัพพอร์ตของ PHP.net

PHP ปล่อยไบนารี PHP 8.0 Alpha 1 เป็นรุ่นทดสอบแรกตามตารางการพัฒนา ที่จะออกทั้งหมด 11 เวอร์ชั่นก่อนออกตัวจริง

PHP 8.0 ยังอยู่ระหว่างการพูดคุยกันว่าฟีเจอร์ใดจะรวมเข้าไว้ในเวอร์ชั่นนี้บ้าง โดยมีกำหนดปิดรับฟีเจอร์ใหม่วันที่ 4 สิงหาคมนี้ ระหว่างนี้ก็มีฟีเจอร์จำนวนหนึ่งที่จะได้เข้ามาในเวอร์ชั่นนี้แน่นอน เช่น

Facebook เปิดตัวหน้าเว็บ facebook.com โฉมใหม่ในงาน F8 2019 เมื่อ 1 ปีที่แล้วพอดี หลังจากทดสอบมายาวนานครบปี บริษัทก็ประกาศเริ่มปล่อยหน้าเว็บโฉมใหม่ให้ผู้ใช้ทั่วโลกแล้ว และจะเปิดใช้งานครบทุกคนในอีกไม่กี่สัปดาห์ข้างหน้า

การเปลี่ยนแปลงสำคัญของหน้าเว็บ facebook.com โฉมใหม่คือ

• ทำงานเร็วขึ้น ตอบสนองเร็วขึ้น เพราะเป็นการยกเครื่องครั้งใหญ่นับจาก facebook.com เวอร์ชันต้นฉบับในปี 2004
• ปรับการวางตำแหน่งปุ่มต่างๆ ให้ค้นหาข้อมูลง่ายขึ้น
• จัดการ Pages, Groups, Events ง่ายขึ้น
• รองรับ Dark Mode

กูเกิลเพิ่งประกาศ App Engine รองรับรันไทม์ Java 11 LTS ไปหมาด ๆ ล่าสุด App Engine ประกาศรองรับภาษาโปรแกรมเวอร์ชันใหม่ๆ อีกชุดใหญ่ดังนี้

PHP รายงานช่องโหว่ CVE-2019-11043 ในโมดูล FPM ที่ตรวจสอบค่าในตัวแปร environment ไม่ดีพอ ทำให้เมื่อคอนฟิกใน nginx บางรูปแบบแล้วทำให้แฮกเกอร์ยิง URL ที่ออกแบบมาเฉพาะทำให้รันโค้ดในเซิร์ฟเวอร์ได้

ทาง PHP ออกแพตช์ รุ่น 7.3.11 และ 7.2.24 มาแก้ไขช่องโหว่นี้เรียบร้อยแล้ว หรือในกรณีที่ยังแพตช์ไม่ได้ สามารถบล็อก "%0a" ใน URL ซึ่งเป็นการเข้ารหัสอักขระ newline

แม้ว่าช่องโหว่จะร้ายแรงพอสมควร แต่รูปแบบที่ถูกโจมตีได้ก็ค่อนข้างจำกัด นักวิจัยได้ปล่อย PoC บน dropbox โดยหากคอนฟิกที่ใช้อยู่มีช่องโหว่ ตัว PHP จะแครชไป

Google ประกาศอัพเดต App Engine ใหม่ โดยเพิ่มเมมโมรี่ให้ App Engine ยุคที่สองเป็น 2 เท่าของเดิม, ประกาศให้ Go 1.12 และ PHP 7.3 เข้าสู่สถานะ GA และรองรับ Java 11 ในสถานะเบต้า

เรื่องแรก คือการเพิ่มเมมโมรี่ให้ App Engine สองเท่าจากเดิม คือผู้ใช้จะสามารถโหลดไลบรารีเข้าไปใน App Engine ได้เยอะกว่าเดิม และการเพิ่มเมมโมรี่นี้ Google เพิ่มให้อัตโนมัติ ฝั่งผู้ใช้ไม่ต้องทำอะไร และไม่เก็บค่าใช้จ่ายเพิ่มเติมด้วย

ส่วนถัดไปคือ Google ประกาศให้รันไทม์สองภาษาบน App Engine คือ Go 1.12 และ PHP 7.3 เข้าสู่สถานะ GA อย่างเป็นทางการ

WordPress 5.2 โค้ดเนม "Jaco" ออกตัวจริงแล้ว ของใหม่เวอร์ชันนี้ได้แก่

WordPress ประกาศออกรุ่น 5.2 Beta 1 ที่มีกำหนดออกตัวจริงในวันที่ 30 เมษายนนี้

ของใหม่ใน WordPress 5.2 ได้แก่ ปรับปรุงประสิทธิภาพของ Block Editor ตัวใหม่ (Project Gutenberg) ช่วยให้ตอบสนองดีขึ้นเวลาเขียนโพสต์ยาวๆ, เพิ่มบล็อคชนิดใหม่ๆ อีก 5 ตัว, ฟีเจอร์ Site Health Check สำหรับแจ้งปัญหาของระบบผ่านหน้าแอดมินได้เลย

อีกประเด็นที่สำคัญคือ WordPress 5.2 จะบังคับเวอร์ชันขั้นต่ำของ PHP เป็น 5.6 (จากของเดิมคือ 5.5 ใน WordPress 5.1) ตามที่เคยประกาศไว้ ดังนั้นคนที่ยังอยู่กับ PHP เวอร์ชัน 5.5 จะไม่สามารถติดตั้ง WordPress 5.2 ได้

เซิร์ฟเวอร์ดาวน์โหลดไลบรารีภาษา PHP หรือ PHP Extension and Application Repository (PEAR) ประกาศปิดเว็บไม่มีกำหนดโดยแจ้งผู้ใช้ว่าถูกแฮก และกำลังสร้างเว็บใหม่

ไม่มีรายละเอียดมากนักว่าแฮกเกอร์โจมตีได้อย่างไร ประกาศระบุเพียงให้ผู้ใช้ที่ดาวน์โหลดไปในช่วงครึ่งปีที่ผ่านมาตรวจสอบไฟล์ go-pear.phar ว่าเหมือนกับไฟล์บน GitHub หรือไม่ หากไม่ตรงก็อาจจะถูกโจมตีแล้ว

โครงการ WordPress ประกาศปรับเวอร์ชันขั้นของซอฟต์แวร์ที่ต้องการใช้งาน โดยบังคับให้ใช้ PHP 5.6 ขึ้นไปและ MySQL 5.5 ขึ้นไป มีผลเดือนเมษายน 2019

เว็บไซต์ที่ยังอยู่กับ PHP 5.5 จะยังได้รับอัพเดตแพตช์ความปลอดภัยจาก WordPress ต่อไป แต่จะไม่สามารถอัพเกรดเป็น WordPress รุ่นใหญ่รุ่นใหม่ได้อีกแล้ว (คาดว่า WordPress 5.1 ที่จะออกช่วงนั้น คงจะเป็นตัวสุดท้ายที่ซัพพอร์ต PHP 5.5)

โครงการ WordPress ระบุว่าตอนนี้มีเว็บไซต์ที่รัน WordPress ประมาณ 85% ใช้งาน PHP 5.6 ขึ้นไปเรียบร้อยแล้ว และ 98.5% ใช้งาน MySQL 5.5 ขึ้นไป

ทางโครงการยังระบุว่าการซัพพอร์ต PHP 5.6 จะมีอายุค่อนข้างสั้น และมีแผนจะขยับเวอร์ชันขั้นต่ำเป็น PHP 7 ในเดือนธันวาคม 2019

โครงการ PHP เตรียมเลิกซัพพอร์ต PHP 5 ตัวสุดท้ายคือรุ่น 5.6 หลังจากขยายเวลาซัพพอร์ตมาหนึ่งปี ตอนนี้เหลืออีกเพียง 6 วันก็จะไม่มีการซัพพอร์ต PHP 5.6 อีกต่อไปแล้ว นับเป็นจุดสิ้นสุดของ PHP 5.x ที่ออกมาตั้งแต่ปี 2004 หรือ 14 ปีมาแล้ว

ความน่ากังวลคือแม้จะแจ้งเตือนกันมานาน แต่เว็บที่ใช้ PHP จำนวนมากยังคงไม่ได้อัพเกรด โดยรายงานสำรวจของ W3Techs ระบุว่าเว็บที่ใช้ PHP ยังคงใช้เวอร์ชั่น 5.x อยู่ถึง 74.6% และอัพเกรดเป็น PHP 7.x เพียง 24.8% เท่านั้น