PHP4のサポートは2008/8/8を持って終了しました。サポート終了に合わせて、最後のPHP4リリースとなる4.4.9がリリースされています。サポートが終了していますが、稼動中のPHPの半分はまだPHP4であるとる統計情報もあり、まだまだ現役です。
PHPプロジェクトのサポート終了したため、PHP 4.4.9のセキュリティ脆弱性はCVEなどでも報告されなくなりました。この為、普通にセキュリティ情報を収集していてもPHP4.4.9に対する脆弱性情報は入手できません。
PHP4セキュリティ保守サービスではPHP 4にも対応しています。サポートしている脆弱性の概要は、弊社のお知らせをご覧下さい。
まだまだ、SQLインジェクションが無くなっていない事は非常に残念です。PHP4で作られたWebアプリケーションはSJISやEUCを文字エンコーディングに利用している為、文字エンコーディングベースのSQLインジェクションに脆弱なWebアプリケーションもかなり多くあると思われます。
Wikiのページを見ると文字エンコーディング関連の脆弱性が多く有ることが分かります。PHPセキュリティレスポンスチームにはPHP4サポート終了前に、脆弱性情報と共にパッチも提供し一部は修正されたのですが、残念ながら文字エンコーディング関連の脆弱性修正に必要な関数のバックポートなどは全く行われませんでした。
商用サービスをPHP4で提供されて、もうしばらくPHP4を利用される予定でいる方は、ライセンスも緩く使いやすいのでPHP4セキュリティ保守サービスを検討されてもよいかも知れません。
参考:
