んっと。海外のサイトで http://www.hardened-php.net/home.8.html ってのがありまして。
5.1.4にセキュリティパッチあててます。
こちら -> http://www.hardened-php.net/php_514_security_fixes.118.html

Several days ago PHP 5.1.4 was released by PHP.net which fixes a number of security bugs. Unfortunately we discovered that the release tarball lacks the pear installer which result in 'make install' downloading it from the web during the installation process.

Because 'make install' is usually called as root and the download occurs via wget over an unsecured HTTP connection this is a security risk for anyone installing PHP without disabling PEAR.

うんそうだよねぇ「'make install' is usually called as root and the download occurs via wget over an unsecured HTTP connection this is a security risk」うん僕もそう思う。
っつか…ぶっちゃけ、初手で見て引いたさね。あの挙動。virtula マシンだからまぁ眺めてたけど。リアルマシンなら、たとえテストマシンでも多分即効でLANケーブル引っこ抜いたと思う…って、まぁ気づいたのはinstall終わってからのログ見てからなので…とりあえず悲鳴上げてたかなぁ？

思うに「何があろうが業務でPHP使いたくねぇ」ってのが今の本音。…でもまぁ現実的にそれは難しいので。
だとすると次に出てくるのは「実装側で徹底的に気を配っての作成」。…頼むから、新機能とか騒いだりする前に仕様と実装枯らしてくれ ；；