LaravelニュースレターにてComposer脆弱性のアナウンスあり:update手順はこちら

Laravelバージョンアップ・ニュース

2021年4月27日、Composerの開発者が脆弱性を修正したとのアナウンスがありました。

Laravelのニュースレターでも、このComposerの脆弱性とアップデート推奨のお知らせがありました。

もしcomposerのバージョンが下記でない場合は、念のため、アップデートしておいたほうが良さそうです。

  • Composer 1.10.22
  • Composer 2.0.13

アップデートの手順と、脆弱性に関するポイントをまとめたので、気になる方は、参考にしてくださいね。

じゅんこ
じゅんこ

わたしも composerをアップデートしました。

すぐ終わります!

LaravelニュースレターよりComposer脆弱性の指摘あり:update手順はこちら

①コマンドツールを立ち上げて、下記のコマンドでバージョンを確認します。

②バージョンが 1.10.22または2.0.13でなければ、次のコマンドでupdateできます。

バージョン 1を使っている場合は、1.10.22に、バージョン2を使っている場合は、2.0.13にアップデートされるかと思います。

今回のcomposerの脆弱性(vulnerability) について

なお今回のcomposerの脆弱性(CVE-2021-29472) の原因などは、こちらの記事で解説されています。

「英語で、しかも長くて面倒だな」

「でもポイントは知っておきたい!」

いう方は、下記にポイントをまとめたので、ご覧ください。

今回のcomposerの脆弱性の原因

パッケージソースのダウンロードURLが十分にサニタイズされておらず、composerが実行するシステムコマンドのオプションとして解釈される可能性があります。ただ、値が適切にエスケープされているので、この問題だけでは、コマンドの実行はできません。

今回のcomposerの脆弱性の影響

この脆弱性は、悪用されていない模様

composer update後の注意点

ただしアップデート後、composer.lockファイルをチェックして、 -- で始まるもの( --config など)が含まれていないか、確認してください。

もし含まれていた場合の連絡先(メールアドレス)は、上記の参考リンク先に掲載されています。

さいごに

あまり影響は深刻ではなさそうですが、とりあえず、updateしておいたほうが良さそうですね。

update後に、ちらっとcomposer.lockファイルもチェックしておきましょう。

Laravelバージョンアップ・ニュース

お仕事のご相談・お問い合わせ窓口

お問い合わせフォームへ

開発案件・法人研修・コンサルティング実施しています。 お気軽にお問い合わせください。
ご挨拶&サービスご紹介動画ございます。

お問い合わせフォームへ

お仕事のご相談・お問い合わせ窓口

お問い合わせフォームへ

こちらよりお気軽にお問い合わせください。 ご挨拶&サービスご紹介動画ございます。

お問い合わせページを見てみる

【Laravelの教科書・プレゼント】

Junko
Laravelの使い方を覚えたい!と思ったら、ぜひ、役立ててほしいです。 基礎編は無料でプレゼント中です♪
ひつじプログラマ
会員制サイトをいちから作っていくよ。ボタンをクリックして詳細を見てね。
Laravelの教科書の詳細を見る

最新版テキストに加え、Laravel8版~Laravel11版もご用意しています♪

【無料プレゼント】

「LaravelでWebアプリをいちから作れるようになりたい!」

そんなLaravel初心者のあなたへ【Laravelの教科書】基礎編プレゼント中! 会員制フォーラムサイトを学習しながら作れます。

詳細はこちらをクリック

最新版テキストに加え、Laravel8版からLaravel11版もご用意しています♪

Laravelの本を書きました。


ひつじが目印♪

Laravelの使い方を分かりやすく解説した書籍を出版しました。 ご好評につき、最新版に対応した改訂版を2025年7月に発売
書店やAmazon等のオンラインショップにて販売中です。 詳しくは下記ボタンをクリック

書籍の詳細を見てみる

Laravelの本書きました。


ひつじが目印♪
クリックするとamazonページへ。

Laravelの使い方を分かりやすく解説した書籍を出版しました。ご好評につき最新版対応の改訂版発売。書店やAmazon等のオンラインショップにて販売中です。

書籍の詳細を見てみる
Twitter始めました。
40代からプログラミング!
タイトルとURLをコピーしました