[3.2] Update auf 3.2.8 geht nicht wegen geänderter random.php von paragonie

[JoKu]

Hallo zusammen,

ich benötige einen Rat, wie ich folgendes Problem lösen kann.
Bislang läuft mein Forum noch mit phpBB 3.2.7.

Das Update auf 3.2.8 hatte ich letztes Jahr schon mal versucht. Das klappte nicht, da nach Aufruf von URL/install/app.php immer nur eine leere weiße Seite angezeigt wurde. Also ein Hinweis auf einen internen Server-Fehler. Da mir die Zeit fehlte, habe ich das Update abgebrochen und alles wieder auf Stand vorher gebracht.

Nun bin ich dem ganzen mal nachgegangen. Mein Hoster hat mir mitgeteilt, wie ich vorübergehend lokal das php-Error-Logging aktivieren kann.

Ergebnis ist folgendes. Beim Aufruf von URL/install/app.php wird folgende Fehlermeldung (gefolgt von dem Stack-Trace) ausgegeben:

PHP Fatal error: Uncaught exception 'Exception' with message 'There is no suitable CSPRNG installed on your system' in /srv/www/htdocs/userid/html/forum/vendor/paragonie/random_compat/lib/random.php:213

Laut Internet Recherche ist paragonie wohl aktualisiert worden und läuft nun nur noch dann, wenn für PHP < Version 7 der Zugriff auf /dev/urandom/ gewährt wird oder PHP >= 7 eingesetzt wird.

Auf dem Server ist aktuell maximal PHP 5.6.10 verfügbar, was ich auch einsetze.

Da ich Shared Hosting nutze, kann von dem Provider nicht mal eben ein neueres PHP eingespielt werden, das sehe ich ein.
Auch wird der Zugriff auf Dateien in PHP ja bewusst über den php.ini Parameter open_basedir eingeschränkt.

Ich kann sehen, dass open_basedir genau auf meinen WebSpace eingestellt ist, also z.B.
open_basedir = /home/www/MeineUserID

Vermutlich würde folgende Anpassung Abhilfe schaffen:
open_basedir = /home/www/MeineUserID:/dev/urandom/

Die Frage ist: Gibt es aus Sicherheitsaspekten Bedenken gegen die Freigabe des Lesens von Dateien in /dev/urandom/ ?

Oder gibt es evtl. eine weitere Möglichkeit, diesen Fehler zu umgehen?

Danke und Güße,
JoKu

P.S.:
Und ja, ich werde den Provider meines Shared Hostings fragen, wann denn geplant ist, PHP 7 bereit zu stellen. Irgendwann möchte ich ja mal auf phpBB 3.3 upgraden...

[juliokr]

Auf dem Server ist aktuell maximal PHP 5.6.10 verfügbar, was ich auch einsetze.

Und ja, ich werde den Provider meines Shared Hostings fragen, wann denn geplant ist, PHP 7 bereit zu stellen. Irgendwann möchte ich ja mal auf phpBB 3.3 upgraden...

Was ist das den für ein Hoster php 5.6 ist schon seit 1 Jahr "End of life"
Ich würde an deiner Stelle den Hoster wechseln

[Scanialady]

In diesem Fall würde ich den Hoster wechseln. Es gibt auch shared hosting bei den namhaften Anbietern, wo solche Probleme nicht existieren. Ich spreche da aus Erfahrung - wenn der Anbieter nicht in der Lage ist (oder nicht willens), die Konfiguration ordentlich herzustellen, hilft nur ein Wechsel. Lieber zwei Euro mehr bezahlen, dafür sorgenfrei bleiben.

[LukeWCS]

Laut Internet Recherche ist paragonie wohl aktualisiert worden und läuft nun nur noch dann, wenn für PHP < Version 7 der Zugriff auf /dev/urandom/ gewährt wird oder PHP >= 7 eingesetzt wird.

Was dein eigentliches Problem angeht muss ich passen, das ist mir bislang einfach noch nicht untergekommen. Das Problem mit PHP wiegt allerdings eh schwerer, weil das eine Frage der Zeit ist und dir langfristig Kopfschmerzen bereiten dürfte.

Auf dem Server ist aktuell maximal PHP 5.6.10 verfügbar, was ich auch einsetze.

Da ich Shared Hosting nutze, kann von dem Provider nicht mal eben ein neueres PHP eingespielt werden, das sehe ich ein.

Jupp, das ist auch ein akzeptables Argument seitens des Hosters und legitim, denn man ist in der Regel nicht alleine auf einem Server unterwegs und "mal eben" PHP zu aktualisieren könnte u.U. andere Teilnehmer des Servers blockieren oder zumindest behindern.

Aus genau diesem Grund geben gute Hoster einem normalerweise die Möglichkeit, die eigene Domain auf einen anderen Server umzuziehen, wo neuere PHP Versionen laufen bzw. auswählbar sind. Ich kann z.B. auf dem jetzigen Server wählen, per Web Oberfläche oder per .htaccess, welches PHP ich gerne hätte und zwar von 5.6-7.3, so hat man maximale Flexibilität. Solche Umzüge habe ich schon ein paar hinter mir, allerdings nicht wegen PHP sondern wegen Perl. Spielt aber keine Rolle. Ein solcher Umzug wird vom Hoster durchgeführt zu einem bestimmten Zeitpunkt der dir bekanntgegeben wird und danach "sollte" normalerweise alles wie gehabt weiterlaufen. Du hättest damit also nichts zu tun. Frag doch mal deinen Hoster, ob das angeboten wird. Wenn nicht, reihe ich mich in die Empfehlungen der Kolleginnen und Kollegen ein: Hoster wechseln.

Mal ganz abgesehen davon, das man sich so gaaanz langsam von 5.6 verabschieden sollte. Die niedrigste Version die mein Hoster z.B. anbietet, ist 5.6.38.

[JoKu]

Danke für eure Antworten.

Ein Wechsel zu einem anderen Hoster könnte das Problem natürlich lösen, ist aber mit so einigem Aufwand und auch einigen Kosten verbunden.
Sicherlich weiß mein Hoster, dass php 5.6 längst abgekündigt ist.
Bislang war es offensichtlich für keinen der anderen auf diesem Server "gehosteten" Webspaces ein Problem, dass php 5.6.10 die höchste auf diesem Server verfügbare php Version ist. Tatsächlich ist die dortige Standarversion ein php 5.4, ich habe per .htaccess die 5.6 aktiviert.

Ich habe auch mal die restlichen Server-Details angeschaut, soweit verfügbar. Die Beschränkung auf php 5.6 liegt wohl auch an seiner relativ antiquierten Linux-Grundinstallation....

Der Tipp mit der Anfrage an meinen Hoster zu einem Umzug auf einen anderen Server mit insgesamt aktuellerer Linux Installation und der Option auf PHP bis 7.3 ist gut.