PHP 5.2.xを使い続けても大丈夫?

PHP 5.2.xを使い続けること問題になることを教えて下さい。
主にセキュリティ面でバージョンを上げるだけで回避できるものなどお願いします。

No.2 回答者： yambejp 回答日時： 2014/09/01 11:06

たとえば

http://php.net/manual/ja/security.globals.php

自己責任できちんと処理をしていれば問題ないのですが
旧バージョンだとデフォルトでセキュリティが甘い状態だったりするので
よほど知識がなければ旧バージョンを使いつづけることはむずかしいことです

まれにですが、PHPでもクラッシュを伴う致命的なセキュリティホールが
発見されることがあります。あまり古いバージョンだとリビジョンでの
セキュリティ対策がされないケースもあるので、注意が必要です。

言い方がわるいかもしれませんが、古いバージョンを使いつづけるということは
すべて自分でなんとかできる人間の特権です。
以下マニュアルを参考にご自身で判断されるとよいでしょう

http://php.net/manual/ja/security.current.php

No.1 回答者： Yune-Kichi 回答日時： 2014/09/01 10:57

例えば，CVE-2011-4885 という脆弱性があります。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CV …
http://www.ipa.go.jp/security/ciadr/vul/20120106 …

ハッシュの衝突を悪用したDoS攻撃の可能性がある，という内容で，PHP 5.3系列では5.3.9にて修正されています。
http://php.net/archive/2012.php#id2012-01-10-1
まぁ，5.3.9はCVE-2011-4885の修正に問題があったようで，5.3.10で「5.3.9のみ」の脆弱性が対処されていたりしますが。
http://php.net/archive/2012.php#id2012-02-02-1
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CV …

Release Noteで修正された脆弱性を調べ，そのCVE番号から5.2系に関連するかを調べて，問題があるようであれば自身で修正する，
ということができるのであればPHP 5.2系を使い続けてもよいでしょう。

ちなみに，修正対象外バージョンにも影響する脆弱性は増えていく一方になります。
見つかった脆弱性の数は時間とともに増加しますが，修正対象外なので見つかった脆弱性は修正されないためです。
さらに，遅くとも「現行バージョンの脆弱性の修正が終わってリリースされた」時点で脆弱性の内容は公表されます。
このため，サポート外のバージョンを使い続けることは，公表された脆弱性が存在するバージョンを使い続けることになります。

上記の理由から，サポート対象のバージョン (5.4系, 5.5系, 5.6系) は，5.2系よりも確実に脆弱性の対策がなされていますし，
サポート対象外のバージョンを使い続けること自体がセキュリティリスクになります。