Hallo Tom,

...

das ist natürlich eine vertrackte Lage. Ich würde versuchen mit Aufklärung dem eigentlichen Ziel, was in Deinem Fall m. E. nur ein manuell zusammengestelltes PHP-Binär sein kann, näher zu kommen.

Debian ist nun wirklich nicht der schnellste Distributor. Das hat Auswirkungen, die sich in Deinem Fall sehr einfach kommunizieren lassen müssten. Allein dem aus den Hinweis auf die vielen Sicherheitsänderungen gebotenen Handlungszwang sollte sich ein verständiger Mensch nicht verschließen können. Die Version 5.2.6 ist zudem vom 01.05.2008. Im gleichen Jahr wurden, wie der Verweis ja zeigt, auch die ersten (Vor-)Versionen der 5.3er-Reihe erstellt. Ein Auslaufen des 5.2er-Zweiges ist also absehbar.

Summa summarum hast Du beim manuellem update Mehrarbeit, was ich auch deutlichst, verbunden mit dem daraus zusätzlich erbrachten Bonus, vermitteln würde. Der Kunde hat eine den Aufgaben gewachsene und (angriffs-)sichere PHP-Version.

Viel Glück und Gruß aus Berlin!
eddi