O PHP está no repositório main .
$ apt-cache policy php5
php5:
Installed: (none)
Candidate: 5.3.10-1ubuntu3.6
Version table:
5.3.10-1ubuntu3.6 0
500 http://nl.archive.ubuntu.com/ubuntu/ precise-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu/ precise-security/main amd64 Packages
5.3.10-1ubuntu3 0
500 http://nl.archive.ubuntu.com/ubuntu/ precise/main amd64 Packages
e suportado por 5 anos:
$ apt-cache show php5 | grep ^Supported
Supported: 5y
A definição da Canonical para software neste repositório é:
Principal
O componente principal contém aplicativos que são software livre, ser livremente redistribuído e são totalmente suportados pela equipe do Ubuntu. Isso inclui o código aberto mais popular e mais confiável aplicativos disponíveis, muitos dos quais estão incluídos por padrão quando você instale o Ubuntu. O software principal inclui uma lista selecionada aplicativos que os desenvolvedores, a comunidade e os usuários do Ubuntu consideram mais importante, e que a equipe de segurança e distribuição do Ubuntu disposto a apoiar. Quando você instala o software a partir do componente principal, você tem a certeza de que o software virá com atualizações de segurança e que o suporte técnico comercial está disponível na Canonical.
Então, sim, a política é fornecer atualizações de segurança para o PHP por cinco anos, independentemente do que o PHP esteja fazendo. Isso não é exclusivo da Canonical, mas também da Red Hat, do Debian e de outras distribuições de patches de segurança backport para versões mais recentes.
Eu não acho que as versões pontuais do Ubuntu LTS serão atualizadas para o PHP 5.4 - pode estar disponível como um pacote separado. Veja também Quais são os lançamentos pontuais nas versões LTS?