Sto parlando del pacchetto PHP 5.3.3 disponibile nel repository di Red Hat Enterprise Linux, in esecuzione su Apache. Da quello che vedo, a partire da RHEL 6, è l'ultima versione (nessun aggiornamento disponibile). Presumo che le patch di sicurezza siano backported, quindi la mia domanda è, a parità di altre condizioni: questo pacchetto è meno sicuro di se avessi scaricato e compilato l'ultima versione stabile dal sito PHP?
Si prega di prendere sotto-menzionato come la mia opinione personale.
Penso che sia meno sicuro . Ma dipende da cosa consideri un problema di sicurezza e cosa no.
la mia azienda ha segnalato alcuni problemi di sicurezza a PHP. L'hanno corretto nell'ultima versione di 5.5.x ..
Non ho intenzione di entrare, hanno dimenticato di sistemarlo sull'albero 5.4.x e non hanno rilasciato una versione aggiornata per 5.4.x anche dopo le mie e-mail.
Il bug report di uno di questi è qui: link
Red Hat bugzilla per questo è qui: link
Red Hat in realtà non considera questo un problema di sicurezza anche se influisce su alcuni ambienti di hosting condiviso - come si dice open_basedir , disable_functions e simili "protezioni" (che possono essere aggirato usando i bug sopraccitati) non sono reali protezioni e non dovrebbero essere presi così.
Detto questo - dipende solo da te decidere se abbia anche senso presumere che PHP offra alcune funzionalità di sicurezza.
Secondo me, il tuo ambiente dovrebbe essere configurato in modo tale che, anche se qualcuno compromette un sito e ottenga l'accesso a PHP, non sarà in grado di fare molto di più che fare casino con quel sito e nient'altro.
Un'altra risposta che ho fornito sullo stackoverflow potrebbe essere utile in considerazione.
modifica : nessuno dei problemi che abbiamo segnalato a PHP settimane fa è stato risolto in RHEL finora - questo è quello su cui ho basato la mia opinione.