¿Qué tan peligrosas son las versiones de PHP desactualizadas para mis clientes?

La mayoría de las nuevas versiones vienen con mejoras de seguridad, por lo que cuanto más antigua es la versión, más tiempo tiene un atacante para aprovecharla.

Puede navegar por una biblioteca de vulnerabilidades, por ejemplo, aquí hay uno para php 5.4 . Usted puede verificar cuántas vulnerabilidades se han divulgado y qué tan graves son. En su mayor parte, creo que es una cuestión de qué extensiones están habilitadas y el código específico, no recuerdo el identificador de CVE, pero recuerdo una función multibyte en php (hace mucho tiempo) que causaría un desbordamiento de búfer si se le da una cadena específica .

En mi opinión, las versiones que tiene actualmente no son terriblemente antiguas, pero sí plantean algunos problemas de seguridad, aquí hay un ejemplo de una vulnerabilidad DoS.

Míralo desde otro ángulo, las nuevas versiones de php también vienen con cambios en las funciones y la actualización a una versión más nueva puede no ser siempre transparente para la aplicación, las cosas pueden fallar. Por lo tanto, una empresa de alojamiento tampoco debe actualizar automáticamente la versión de PHP sin el consentimiento del cliente.

Si se están aplicando actualizaciones de seguridad, es perfectamente correcto, incluso normal, ejecutar una versión anterior de PHP.

En una computadora de escritorio, las personas a menudo se acercan a las actualizaciones con la mentalidad de querer siempre obtener las últimas y mejores versiones, lo cual está bien (y es bueno) para las máquinas de los usuarios finales. Pero para los servidores, la atención se centra en la estabilidad: la gente generalmente no desea actualizar el software de servidor crítico a la versión más reciente tan pronto como se lance; las actualizaciones a menudo pueden romper cosas y quieren esperar hasta que se pruebe más a fondo antes de actualizar, por razones de estabilidad. Por lo tanto, es una práctica común instalar solo actualizaciones de seguridad inmediatamente y esperar un tiempo antes de actualizar a una versión más nueva.

  

Está ejecutando esas versiones anteriores, es pura locura o es solo un riesgo menor.   para nuestros clientes?

No, en absoluto: no es ni una locura pura ni un riesgo menor. Debe encontrar absolutamente una manera de convencer (en caso de que no pueda hacerlo usted mismo) a sus clientes para que actualicen sus versiones de PHP a la más reciente, si es posible que OTHERWISE actualice las funciones de seguridad de sus versiones actuales.

Las versiones de PHP existen principalmente para corregir las vulnerabilidades de seguridad de las antiguas.

Puede encontrar miles de vulnerabilidades de seguridad de versiones anteriores de PHP en CVEDETAILS con todos los detalles de sus impactos y gravedad.