Hallo André,
das Offline-Wiki ist für den lokalen Eigenbedarf gedacht und stellt keine für's Rehosting erstellte Instanz von wiki.selfhtml.org dar. Deswegen sind die Ports, auf die der installierte nginx bzw. das PHP FCGI lauscht, auch keine öffentlichen.
Generell hast Du Glück, wenn Du das Wiki mit PHP 7.4 zum Laufen bekommen hast. Die von uns noch verwendete Version ist die erste, die überhaupt PHP 7 unterstützt, weshalb wir sie unter PHP 7.0 betreiben. Ja, ist alt. Ja, ist nicht unterstützt.
Wenn Du Schwachstellen erkannt hast, die für ein öffentlich gehostetes Wiki relevant sind, kannst Du die gerne an vorstand@selfhtml.org oder projekt@selfhtml.org melden; ich weiß nicht, wie weit Julius da schon in Kontakt mit Dir ist.
Wenn das aber ähnliche Schwachstellen sind wie die, die Heise im April angesprochen hat (Achtung, Keksflut), dann sind sie für uns irrelevant. Man muss dabei immer sehen:
- bei wiki.selfhtml.org sind wir der einzige Nutzer der PHP Installation. Integer-Overflows in der php.ini oder Heap-Dataleaks sind Probleme, die eine Inbetriebnahme stören können oder in einer shared installation zu Datenabfluss führen können.
- das Offline-Wiki ist lokal und nicht öffentlich. Man kann es angreifen, sich dabei aber maximal in den eigenen Fuß schießen. Es sei denn, man repaketiert es, haut Schadcode hinein und bietet es zum Download ab - aber dagegen hilft auch die beste PHP Versionspflege nichts.
Ein kritischer Fehler für uns wäre beispielsweise, wenn man durch fabrizierte Uploads oder Webrequests ausführbaren Code auf unseren Server hochladen könnte oder sich zum Wiki-Admin machen könnte.
Rolf
sumpsi - posui - obstruxi