LTSディストリビューションで提供されている最新のphp5パッケージは安全ですか?
12.04LTS本番サーバーでphp5を更新する必要があります。提供される最新の候補は5.3.10-1ubuntu3.9です。そのバージョンは、実稼働環境で使用するために安全であるようにパッチが適用されていますか?
PHPはすでに5.5.3までであり、アップグレードするのはかなり面倒です。 LTSリリースでは、セキュリティ修正が適用されるパッケージが提供されると思いますが、これに関する決定的な答えは見つかりません。
Ubuntu Wikiの セキュリティチームFAQ に記載されているように:
Ubuntuは現在、メイン、制限付き、ユニバース、マルチバースの4つのコンポーネントに分かれています。 mainおよびrestrictedのパッケージは、Ubuntuリリースの存続期間中Ubuntu Securityチームによってサポートされますが、ユニバースおよびマルチバースのパッケージは、Ubuntuコミュニティによってサポートされます。
PHP5.3はメインコンポーネントの一部であり( php5パッケージページ にリストされているように)、2017年4月までUbuntuセキュリティチームによってサポートされています( 12.04 LTSサポート終了日 )。
Php5パッケージページに記載されているように、執筆時点でのphp 5.3の最新のセキュリティパッチは2014年3月3日のものです( 5.3.10-1ubuntu3.1 )。
5.3以降のバージョンのリリースノートを見ると、リリースで発行されているセキュリティパッチについては言及されていません。いずれの場合も、新しいリリースでは非推奨の機能があるため、新しいバージョンでコードをテストすることをお勧めします。
既存のコードが影響を受けるかどうかを確認するには、 5.3リリースノート を確認してください。