LaravelニュースレターにてComposer脆弱性のアナウンスあり:update手順はこちら

Laravelバージョンアップ・ニュース

2021年4月27日、Composerの開発者が脆弱性を修正したとのアナウンスがありました。

Laravelのニュースレターでも、このComposerの脆弱性とアップデート推奨のお知らせがありました。

もしcomposerのバージョンが下記でない場合は、念のため、アップデートしておいたほうが良さそうです。

  • Composer 1.10.22
  • Composer 2.0.13

アップデートの手順と、脆弱性に関するポイントをまとめたので、気になる方は、参考にしてくださいね。

じゅんこ
じゅんこ

わたしも composerをアップデートしました。

すぐ終わります!

LaravelニュースレターよりComposer脆弱性の指摘あり:update手順はこちら

①コマンドツールを立ち上げて、下記のコマンドでバージョンを確認します。

②バージョンが 1.10.22または2.0.13でなければ、次のコマンドでupdateできます。

バージョン 1を使っている場合は、1.10.22に、バージョン2を使っている場合は、2.0.13にアップデートされるかと思います。

今回のcomposerの脆弱性(vulnerability) について

なお今回のcomposerの脆弱性(CVE-2021-29472) の原因などは、こちらの記事で解説されています。

「英語で、しかも長くて面倒だな」

「でもポイントは知っておきたい!」

いう方は、下記にポイントをまとめたので、ご覧ください。

今回のcomposerの脆弱性の原因

パッケージソースのダウンロードURLが十分にサニタイズされておらず、composerが実行するシステムコマンドのオプションとして解釈される可能性があります。ただ、値が適切にエスケープされているので、この問題だけでは、コマンドの実行はできません。

今回のcomposerの脆弱性の影響

この脆弱性は、悪用されていない模様

composer update後の注意点

ただしアップデート後、composer.lockファイルをチェックして、 -- で始まるもの( --config など)が含まれていないか、確認してください。

もし含まれていた場合の連絡先(メールアドレス)は、上記の参考リンク先に掲載されています。

さいごに

あまり影響は深刻ではなさそうですが、とりあえず、updateしておいたほうが良さそうですね。

update後に、ちらっとcomposer.lockファイルもチェックしておきましょう。

Laravelバージョンアップ・ニュース

【Laravelの教科書・プレゼント】

Junko
Laravelの使い方を覚えたい!と思ったら、ぜひ、役立ててほしいです。 基礎編は無料でプレゼント中です♪
ひつじプログラマ
会員制サイトをいちから作っていくよ。ボタンをクリックして詳細を見てね。
Laravelの教科書の詳細を見る

最新のLaravel10版テキストに加え、Laravel8版・Laravel9版もご用意しています♪

【無料プレゼント】

「LaravelでWebアプリをいちから作れるようになりたい!」

そんなLaravel初心者のあなたへ【Laravelの教科書】基礎編プレゼント中! 会員制フォーラムサイトを学習しながら作れます。

詳細はこちらをクリック

最新のLaravel10版テキストに加え、Laravel8版・Laravel9版もご用意しています♪

Laravelの本を書きました。


ひつじが目印♪
クリックするとamazonページへ。

Laravelの使い方を分かりやすく解説した書籍を出版しました。書店やAmazon等のオンラインショップにて販売中です。
Laravel10対応。Laravel11サポートガイドもご用意しています。詳しくは下記ボタンをクリック♪

書籍の詳細を見てみる

Laravelの本を書きました。


ひつじが目印♪
クリックするとamazonページへ。

Laravel10対応

Laravelの使い方を分かりやすく解説した書籍を出版しました。書店やAmazon等のオンラインショップにて販売中です。

書籍の詳細を見てみる


Laravelの教科書限定コミュニティ【Laravelの教科書ラボ】はじめました。
セミナーで、StripeやChatGPT連携、デバックなど実践スキルを分かりやすく学べます。

ラボの案内を見てみる

Twitter始めました。
40代からプログラミング!
タイトルとURLをコピーしました