LaravelニュースレターにてComposer脆弱性のアナウンスあり:update手順はこちら

Laravelバージョンアップ・ニュース

2021年4月27日、Composerの開発者が脆弱性を修正したとのアナウンスがありました。

Laravelのニュースレターでも、このComposerの脆弱性とアップデート推奨のお知らせがありました。

もしcomposerのバージョンが下記でない場合は、念のため、アップデートしておいたほうが良さそうです。

  • Composer 1.10.22
  • Composer 2.0.13

アップデートの手順と、脆弱性に関するポイントをまとめたので、気になる方は、参考にしてくださいね。

じゅんこ
じゅんこ

わたしも composerをアップデートしました。

すぐ終わります!

LaravelニュースレターよりComposer脆弱性の指摘あり:update手順はこちら

①コマンドツールを立ち上げて、下記のコマンドでバージョンを確認します。

②バージョンが 1.10.22または2.0.13でなければ、次のコマンドでupdateできます。

バージョン 1を使っている場合は、1.10.22に、バージョン2を使っている場合は、2.0.13にアップデートされるかと思います。

今回のcomposerの脆弱性(vulnerability) について

なお今回のcomposerの脆弱性(CVE-2021-29472) の原因などは、こちらの記事で解説されています。

「英語で、しかも長くて面倒だな」

「でもポイントは知っておきたい!」

いう方は、下記にポイントをまとめたので、ご覧ください。

今回のcomposerの脆弱性の原因

パッケージソースのダウンロードURLが十分にサニタイズされておらず、composerが実行するシステムコマンドのオプションとして解釈される可能性があります。ただ、値が適切にエスケープされているので、この問題だけでは、コマンドの実行はできません。

今回のcomposerの脆弱性の影響

この脆弱性は、悪用されていない模様

composer update後の注意点

ただしアップデート後、composer.lockファイルをチェックして、 -- で始まるもの( --config など)が含まれていないか、確認してください。

もし含まれていた場合の連絡先(メールアドレス)は、上記の参考リンク先に掲載されています。

さいごに

あまり影響は深刻ではなさそうですが、とりあえず、updateしておいたほうが良さそうですね。

update後に、ちらっとcomposer.lockファイルもチェックしておきましょう。

Laravelバージョンアップ・ニュース

【Laravelの教科書・無料プレゼント】

Junko
Laravelの使い方を覚えたい!と思ったら、ぜひ、役立ててほしいです。
ひつじプログラマ
会員制サイトをいちから作っていくよ。ボタンをクリックして詳細を見てね。
Laravelの教科書の詳細を見る

Laravel8版と、最新のLaravel9版、ふたつのテキストご用意してます♪

【無料プレゼント】

「LaravelでWebアプリをいちから作れるようになりたい!」

そんなLaravel初心者のあなたへ【Laravelの教科書】基礎編プレゼント中! 会員制フォーラムサイトを学習しながら作れます。

詳細はこちらをクリック

Laravel8版と、最新のLaravel9版、ふたつのテキストご用意してます♪

Laravel関連のご相談承ってます♪
「Webアプリを開発してほしい」
「社内にLaravelが分かる人がいない。コンサルしてほしい」
そんな企業様のご依頼承っています。
お問い合わせはこちら
Laravel関連のご相談承ってます♪
「Webアプリを開発してほしい」
「社内にLaravelが分かる人がいない。コンサルしてほしい」
そんな企業様のご依頼承っています。
お問い合わせはこちら
Twitter始めました。
40代からプログラミング!

コメント

タイトルとURLをコピーしました