【2025年11月版】EOLになったPHPバージョンとOSによるバックポートについて

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事は、EOL（End of Life）を迎えたPHPバージョンと、各種OSによるバックポート対応についてまとめたもので、2025年11月7日に執筆しています。

PHPは、Webサイトやアプリを開発する際に広く採用されているプログラミング言語であり、Webサーバー上で動いてプログラムを実行するサーバーサイドスクリプト言語に分類されます。

2025年11月7日現在の公式ルールでは、PHP各バージョンは、リリースから概ね4年後の12月31日に公式サポートが終了（EOL）します。これは、2024年3月に承認されたRFCにより、セキュリティサポート期間が従来の1年から2年に延長され、EOL日が統一されたためです。
※PHPのバージョン情報とサポート期限(EOL)についてはこちらをご覧ください。

もっとも、EOLを迎えたPHPバージョンであっても、直ちに危険な状態になるとは限りません。OSによっては、EOL後のPHPバージョンに対しても、緊急、重大な脆弱性に対してバックポートと呼ばれる方式で修正を適用するケースがあるためです。

そこで、この記事では、企業のWeb担当者の皆さまに向けて、各OSごとのバックポート対応方針とともにご紹介することで、できるだけ安心してPHPを使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

バックポートとは、本来は新しいソフトウェアのバージョンで修正された脆弱性やバグ修正の内容を、古いバージョンのままのパッケージに後から移植（backport）して適用する手法を指します。

すなわち、OSによっては、新しいPHPバージョンで修正された脆弱性やバグ対応を独自パッチとして反映（バックポート対応）することで、EOL（End of Life）を迎えた古いPHPバージョンに対しても、一定のセキュリティレベルを事実上確保している場合があります（ただし、EOL後もバックポートが継続されるのは例外的であり、代表例が RHEL 8系での PHP 7.4です）。

ただし、このバックポート対応は、各OSベンダーが「危険」と判断した重要度の高い脆弱性（たとえば緊急や重要レベル）に限定して行われるのが一般的です。

また、どのPHPバージョンに、どの範囲まで適用するかはOSごとに方針が異なるため、EOL後のPHPバージョンに公式サポートと同等の脆弱性対策が継続されること意味しているわけではありません。

したがって、EOLを迎えた古いPHPバージョンを使用している場合は、可能な限り公式にサポートされている最新バージョンへのアップデートを行うことが推奨されることに変わりはありませんが、バックポート対応がされていれば、重要度の高い脆弱性については修正が反映されているため、一定の安心感を持って運用できるとは言えるかと思います。

Amazon Linux 2023 におけるバックポート対象脆弱性の選定基準は、各セキュリティアドバイザリ（ALAS: Amazon Linux Advisory Security）に付与される深刻度（Severity）によって判断されており、その評価は主に CVSS（Common Vulnerability Scoring System）スコアを基準としています。

ただし、「CVSSスコア○以上」などの明確な数値基準や、対象バージョンの区分までは公開されていません。

このため、実運用上は CVSS スコアで「緊急（Critical）」または「重要（Important）」と評価された脆弱性がバックポート対応の対象になると想定した上で、実際に発行された ALAS（Amazon Linux Advisory Security）を都度確認する運用が推奨されます。

なお、Amazon Linux 2023でバックポートが行われ得るPHPの対象は、同OSが提供しているPHP系（8.1、8.2、8.3、8.4）」に限られます。
Amazon Linux 2023では、PHP5.x、7.x、8.0のパッケージ自体が存在していないため、同OSでは、それらに対するALAS（＝バックポートされた修正の配布）は発生しません。

そうなると、気になるのは2025年12月31日にEOLを迎えるPHP8.1について、2026年以降もバックポート対応がされるかという点でしょう。
この点については、Amazon Linux 2023のPackage support statementsページに、「Security support until December 2025」と記載されており、同日までがセキュリティ更新（バックポートを含む）が保証されると読む方が素直であると考えます。

すなわち、Amazon Linux 2023についてもバックポート対応は存在するが、その対象はPHP公式サポートの対象バージョンと同一であることから、事実上PHPのEOLバージョンに対する延長サポートの機能は有さないということになります。

RHEL（Red Hat Enterprise Linux）9及びその互換ディストリビューション（AlmaLinux OS 9、Rocky Linux 9）では、セキュリティ修正を上流の最新版へ更新するのではなく、既存パッケージへ修正を移植するバックポート方式を採用しています。
変更内容は、それぞれRHSA（Red Hat Security Advisory）、ELSA（Enterprise Linux Security Advisory）、RLSA（Rocky Linux Security Advisory）で公表されます。

バックポートの対象となる脆弱性は、Red Hat Security Impact Ratings に基づくCritical（緊急）およびImportant（重要）レベルの脆弱性が原則対象です。
Moderate（警告）レベル以下は状況に応じて判断され、Low（注意）レベルは通常対応されません。

2025年11月7日現在、RHEL 9における、バックポート対象のPHPバージョンは、PHP8.3と8.2、8.0です。
※PHP8.3と8.2については、RHEL 9 Application Streams Release Life Cycle参照
※PHP8.0については、RHEL 9 Full Life Application Streams Release Life Cycle参照

RHEL 9についてもバックポート対応は存在しており、RHEL 9かつPHP8.0を使用している場合には、事実上PHPのEOLバージョンに対する延長サポートの機能を有しているということになります。

一方PHP8.1について公式サポート期限は2025年12月31日ですが、RHELではモジュールの安定提供、メンテナンス継続の観点からそれより早く2025年5月末日を終了時期としています。
このためPHP8.1に対してはPHP公式サポートの対象バージョンより数ヵ月早く終了することから、PHPのEOLバージョンに対する延長サポートの機能は有さないということになります。

なお、AlmaLinux OS 9 および Rocky Linux 9 も RHEL 9 と同じSRPMソースを使用しているため、バックポート方針と選定基準、対象バージョンは実質的に同一です。

RHEL（Red Hat Enterprise Linux）8及びその互換ディストリビューション（AlmaLinux OS 8、Rocky Linux 8）においても、セキュリティ修正を上流の最新版へ更新するのではなく、既存パッケージへ修正を移植するバックポート方式を採用しています。

バックポートの対象となる脆弱性についても、Red Hat Security Impact Ratings に基づくCritical（緊急）およびImportant（重要）レベルの脆弱性が原則対象であること、Moderate（警告）レベル以下は状況に応じて判断され、Low（注意）レベルは通常対応されないことも同様です。

一方で、2025年11月7日現在、RHEL 8における、バックポート対象のPHPバージョンは、公式サイト上ではPHP8.2と7.4のみです。
※PHP8.2については、RHEL 8 Application Streams Release Life Cycle参照
※PHP7.4については、RHEL 8 Full Life Application Streams Release Life Cycle参照

すなわち、RHEL 8についてもバックポート対応は存在しており、RHEL 8かつPHP7.4を使用している場合には、事実上PHPのEOLバージョンに対する延長サポートの機能を有しているということになります。

なお、AlmaLinux OS 8 および Rocky Linux 8 も RHEL 8 と同じSRPMソースを使用しているため、バックポート方針と選定基準、対象バージョンは実質的に同一です。

PHPの最新バージョンへのバージョンアップについては、Webアプリケーション側に不具合が発生する確率が非常に高く、工数がかかることが予想されます。
この場合、不具合の原因を特定し、これを改修できる専門的な知識が必要です。

また、Web制作会社はいわゆるWebアプリケーション側（WebサイトやCMS等）を専門としていますので、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。