ハマログ

株式会社イーツー・インフォの社員ブログ

LaravelでのSymfony脆弱性対応について(CVE-2015-2308)

Symfonyのコードインジェクション(CVE-2015-2308: Esi Code Injection)が発表されました。

「Symfony」におけるコード・インジェクションの脆弱性対策について(JVN#19578958)
http://www.ipa.go.jp/security/ciadr/vul/20150623-jvn.html

上記サイトによると、多くのバージョンが対象となっています。
Symfony 2.0.x、2.1.x、2.2.x、2.3.x、2.4.x、2.5.x、2.6.x

そして悲しいことに・・・

>なお Symfony 2.0、2.1、2.2、2.4 はサポートが終了しているため、これらのバージョンに対する修正は提供されていません。

さて、公式サイトを見ると、対象は以下のバージョンのようです
https://symfony.com/blog/cve-2015-2308-esi-code-injection
All 2.0.X, 2.1.X, 2.2.X, 2.3.X, 2.4.X, 2.5.X, and 2.6.X versions of the Symfony HttpKernel component are affected by this security issue.
This issue has been fixed in Symfony 2.3.27, 2.5.11, and 2.6.6. Note that no fixes are provided for Symfony 2.0, 2.1, 2.2, and 2.4 as they are not maintained anymore.

LaravelはSymfonyを利用しているため、設置時期によっては脆弱性の対象となっています。
まずは、composerで導入済みの現在のライブラリのバージョンを確認してみます。

% composer show -i

anahkiasen/rocketeer          2.0.0              Rocketeer is a fast and simple deployer for the PHP world
classpreloader/classpreloader 1.0.2              Helps class loading performance by generating a single PHP file c...
d11wtq/boris                  v1.0.8
filp/whoops                   1.1.6              php error handling for cool kids
google/apiclient              1.1.4              Client library for Google APIs
hamcrest/hamcrest-php         v1.2.2             This is the PHP port of Hamcrest Matchers
ircmaxell/password-compat     v1.0.4             A compatibility library for the proposed simplified password hash...
jeremeamia/SuperClosure       1.0.2              Doing interesting things with closures like serialization.
kzykhys/parallel              v0.1.0             Simple multitasking library
laravel/framework             v4.2.11            The Laravel Framework.
mockery/mockery               dev-master a481710 Mockery is a simple yet flexible PHP mock object framework for us...
monolog/monolog               1.14.0             Sends your logs to files, sockets, inboxes, databases and various...
nesbot/carbon                 1.17.0             A simple API extension for DateTime.
nikic/php-parser              v0.9.5             A PHP parser written in PHP
patchwork/utf8                v1.1.29            Portable and performant UTF-8, Unicode and Grapheme Clusters for PHP
phpseclib/phpseclib           0.3.10             PHP Secure Communications Library - Pure-PHP implementations of R...
phpunit/php-code-coverage     1.2.18             Library that provides collection, processing, and rendering funct...
phpunit/php-file-iterator     1.4.0              FilterIterator implementation that filters files based on a list ...
phpunit/php-text-template     1.2.1              Simple template engine.
phpunit/php-timer             1.0.6              Utility class for timing
phpunit/php-token-stream      1.2.2              Wrapper around PHP's tokenizer extension.
phpunit/phpunit               3.7.38             The PHP Unit Testing framework.
phpunit/phpunit-mock-objects  1.2.3              Mock Object library for PHPUnit
predis/predis                 v0.8.7             Flexible and feature-complete PHP client library for Redis
psr/log                       1.0.0              Common interface for logging libraries
stack/builder                 v1.0.3             Builder for stack middlewares based on HttpKernelInterface.
swiftmailer/swiftmailer       v5.4.1             Swiftmailer, free feature-rich PHP mailer
symfony/browser-kit           v2.5.12            Symfony BrowserKit Component
symfony/console               v2.5.12            Symfony Console Component
symfony/css-selector          v2.5.12            Symfony CssSelector Component
symfony/debug                 v2.5.12            Symfony Debug Component
symfony/dom-crawler           v2.5.12            Symfony DomCrawler Component
symfony/event-dispatcher      v2.7.1             Symfony EventDispatcher Component
symfony/filesystem            v2.7.1             Symfony Filesystem Component
symfony/finder                v2.5.12            Symfony Finder Component
symfony/http-foundation       v2.5.12            Symfony HttpFoundation Component
symfony/http-kernel           v2.5.12            Symfony HttpKernel Component
symfony/process               v2.5.12            Symfony Process Component
symfony/routing               v2.5.12            Symfony Routing Component
symfony/security-core         v2.5.12            Symfony Security Component - Core Library
symfony/translation           v2.5.12            Symfony Translation Component
symfony/yaml                  v2.7.1             Symfony Yaml Component

つい数日前にリリース配布したため、脆弱性の対象外でした。

もし、2.5.10以下の場合は脆弱性が含まれているため、バージョンアップしましょう。

% composer update

便利な世の中になったものです。

CVELaravelPHPsymfony脆弱性

  kaneko tomo   2015年6月23日


関連記事

PlantUML&AtomでらくらくUML

ドキュメントが嫌いです。男はコードで殴り合うべきだと思うのですがどうでしょうか?…

MacOS XのGatekeeper

こんにちは、かねこです。 今流行のSASS/LESSをShin先輩に調べてもらっ…

最適化のタイミングとバランス

Premature optimization is the root of al…


← 前の投稿

次の投稿 →