2021年4月27日、Composerの開発者が脆弱性を修正したとのアナウンスがありました。
Laravelのニュースレターでも、このComposerの脆弱性とアップデート推奨のお知らせがありました。
もしcomposerのバージョンが下記でない場合は、念のため、アップデートしておいたほうが良さそうです。
- Composer 1.10.22
- Composer 2.0.13
アップデートの手順と、脆弱性に関するポイントをまとめたので、気になる方は、参考にしてくださいね。
わたしも composerをアップデートしました。
すぐ終わります!
LaravelニュースレターよりComposer脆弱性の指摘あり:update手順はこちら
①コマンドツールを立ち上げて、下記のコマンドでバージョンを確認します。
|
1 |
composer -V |
②バージョンが 1.10.22または2.0.13でなければ、次のコマンドでupdateできます。
|
1 |
composer self-update |
バージョン 1を使っている場合は、1.10.22に、バージョン2を使っている場合は、2.0.13にアップデートされるかと思います。
今回のcomposerの脆弱性(vulnerability) について
なお今回のcomposerの脆弱性(CVE-2021-29472) の原因などは、こちらの記事で解説されています。
「英語で、しかも長くて面倒だな」
「でもポイントは知っておきたい!」
いう方は、下記にポイントをまとめたので、ご覧ください。
今回のcomposerの脆弱性の原因
パッケージソースのダウンロードURLが十分にサニタイズされておらず、composerが実行するシステムコマンドのオプションとして解釈される可能性があります。ただ、値が適切にエスケープされているので、この問題だけでは、コマンドの実行はできません。
今回のcomposerの脆弱性の影響
この脆弱性は、悪用されていない模様
composer update後の注意点
ただしアップデート後、composer.lockファイルをチェックして、 -- で始まるもの( --config など)が含まれていないか、確認してください。
もし含まれていた場合の連絡先(メールアドレス)は、上記の参考リンク先に掲載されています。
さいごに
あまり影響は深刻ではなさそうですが、とりあえず、updateしておいたほうが良さそうですね。
update後に、ちらっとcomposer.lockファイルもチェックしておきましょう。
