Estoy hablando del paquete PHP 5.3.3 que está disponible en el repositorio de Red Hat Enterprise Linux, que se ejecuta en Apache. Por lo que puedo ver, a partir de RHEL 6, es la última versión (no hay actualizaciones disponibles). Supongo que los parches de seguridad están respaldados, por lo que mi pregunta es si todo lo demás es igual: ¿este paquete es menos seguro que si hubiera descargado y compilado la última versión estable del sitio PHP?
Por favor, tómalo como mi opinión personal.
Creo que es menos seguro . Pero depende de lo que consideres un problema de seguridad y de lo que no.
mi compañía reportó algunos problemas de seguridad a PHP. Lo han corregido en la última versión de 5.5.x ..
Ni siquiera voy a entrar, se han olvidado de arreglarlo en el árbol 5.4.x y no han lanzado una versión actualizada para 5.4.x incluso después de mis correos electrónicos.
El informe de errores para uno de ellos está aquí: enlace
Red Hat bugzilla para ello está aquí: enlace
Red Hat realmente no considera esto como un problema de seguridad incluso si afecta a bastantes entornos de alojamiento compartido, como dicen open_basedir , disable_functions y "protecciones" similares (esto puede ser Eludir el uso de los errores mencionados anteriormente no es una protección real y no debe tomarse así.
Habiendo dicho eso, solo depende de usted decidir si tiene sentido asumir de alguna manera que PHP proporciona algunas características de seguridad.
En mi opinión, su entorno debe configurarse de manera tal que, incluso si alguien compromete un sitio y obtiene acceso a PHP, no podrá hacer mucho más que solo jugar con ese sitio y nada más.
Una respuesta más que di en stackoverflow podría ser útil en cuanto a consideraciones.
editar : ninguno de los problemas que hemos reportado a PHP hace semanas se han solucionado en RHEL hasta ahora, en eso he basado mi opinión.