LaravelでのSymfony脆弱性対応について(CVE-2015-2308)
Symfonyのコードインジェクション(CVE-2015-2308: Esi Code Injection)が発表されました。
「Symfony」におけるコード・インジェクションの脆弱性対策について(JVN#19578958)
http://www.ipa.go.jp/security/ciadr/vul/20150623-jvn.html
上記サイトによると、多くのバージョンが対象となっています。
Symfony 2.0.x、2.1.x、2.2.x、2.3.x、2.4.x、2.5.x、2.6.x
そして悲しいことに・・・
>なお Symfony 2.0、2.1、2.2、2.4 はサポートが終了しているため、これらのバージョンに対する修正は提供されていません。
さて、公式サイトを見ると、対象は以下のバージョンのようです
https://symfony.com/blog/cve-2015-2308-esi-code-injection
All 2.0.X, 2.1.X, 2.2.X, 2.3.X, 2.4.X, 2.5.X, and 2.6.X versions of the Symfony HttpKernel component are affected by this security issue.
This issue has been fixed in Symfony 2.3.27, 2.5.11, and 2.6.6. Note that no fixes are provided for Symfony 2.0, 2.1, 2.2, and 2.4 as they are not maintained anymore.
LaravelはSymfonyを利用しているため、設置時期によっては脆弱性の対象となっています。
まずは、composerで導入済みの現在のライブラリのバージョンを確認してみます。
% composer show -i anahkiasen/rocketeer 2.0.0 Rocketeer is a fast and simple deployer for the PHP world classpreloader/classpreloader 1.0.2 Helps class loading performance by generating a single PHP file c... d11wtq/boris v1.0.8 filp/whoops 1.1.6 php error handling for cool kids google/apiclient 1.1.4 Client library for Google APIs hamcrest/hamcrest-php v1.2.2 This is the PHP port of Hamcrest Matchers ircmaxell/password-compat v1.0.4 A compatibility library for the proposed simplified password hash... jeremeamia/SuperClosure 1.0.2 Doing interesting things with closures like serialization. kzykhys/parallel v0.1.0 Simple multitasking library laravel/framework v4.2.11 The Laravel Framework. mockery/mockery dev-master a481710 Mockery is a simple yet flexible PHP mock object framework for us... monolog/monolog 1.14.0 Sends your logs to files, sockets, inboxes, databases and various... nesbot/carbon 1.17.0 A simple API extension for DateTime. nikic/php-parser v0.9.5 A PHP parser written in PHP patchwork/utf8 v1.1.29 Portable and performant UTF-8, Unicode and Grapheme Clusters for PHP phpseclib/phpseclib 0.3.10 PHP Secure Communications Library - Pure-PHP implementations of R... phpunit/php-code-coverage 1.2.18 Library that provides collection, processing, and rendering funct... phpunit/php-file-iterator 1.4.0 FilterIterator implementation that filters files based on a list ... phpunit/php-text-template 1.2.1 Simple template engine. phpunit/php-timer 1.0.6 Utility class for timing phpunit/php-token-stream 1.2.2 Wrapper around PHP's tokenizer extension. phpunit/phpunit 3.7.38 The PHP Unit Testing framework. phpunit/phpunit-mock-objects 1.2.3 Mock Object library for PHPUnit predis/predis v0.8.7 Flexible and feature-complete PHP client library for Redis psr/log 1.0.0 Common interface for logging libraries stack/builder v1.0.3 Builder for stack middlewares based on HttpKernelInterface. swiftmailer/swiftmailer v5.4.1 Swiftmailer, free feature-rich PHP mailer symfony/browser-kit v2.5.12 Symfony BrowserKit Component symfony/console v2.5.12 Symfony Console Component symfony/css-selector v2.5.12 Symfony CssSelector Component symfony/debug v2.5.12 Symfony Debug Component symfony/dom-crawler v2.5.12 Symfony DomCrawler Component symfony/event-dispatcher v2.7.1 Symfony EventDispatcher Component symfony/filesystem v2.7.1 Symfony Filesystem Component symfony/finder v2.5.12 Symfony Finder Component symfony/http-foundation v2.5.12 Symfony HttpFoundation Component symfony/http-kernel v2.5.12 Symfony HttpKernel Component symfony/process v2.5.12 Symfony Process Component symfony/routing v2.5.12 Symfony Routing Component symfony/security-core v2.5.12 Symfony Security Component - Core Library symfony/translation v2.5.12 Symfony Translation Component symfony/yaml v2.7.1 Symfony Yaml Component
つい数日前にリリース配布したため、脆弱性の対象外でした。
もし、2.5.10以下の場合は脆弱性が含まれているため、バージョンアップしましょう。
% composer update
便利な世の中になったものです。
