akagane99
commented
2 years ago 試しにcomposer.lock をアップデートしたが解消されなかった。 下記1系でバージョンアップのため、解消されないのは正常動作かと思う。
- Upgrading facade/ignition (1.16.15 => 1.18.0): Extracting archive
Closed akagane99 closed 2 years ago
akagane99
commented
2 years ago 試しにcomposer.lock をアップデートしたが解消されなかった。 下記1系でバージョンアップのため、解消されないのは正常動作かと思う。
akagane99
commented
2 years ago laravel5.5系のでデバッグライブラリ Whoops に戻す。
https://github.com/filp/whoops
参考 https://github.com/laravel/laravel/blob/5.5/composer.json#L14
"require-dev": {
"filp/whoops": "~2.0",https://github.com/laravel/laravel/blob/5.8/composer.json
"require-dev": {
"filp/whoops": "^2.0",| 指定 | 対象のバージョン |
|---|---|
| ^2.0 | 2.0.0以上、2.1.0未満 |
| ~2.0 | 2.0.0以上、3.0.0未満 |
akagane99
commented
2 years ago ・対応しました。 ・githubのセキュリティ指摘が消えた事を確認しました。 ・開発環境をお使いのかたは、Connec-CMSの最新取得後、compserアップデートの実施をお願いします。
https://github.com/opensource-workshop/connect-cms/commit/57d87fd10056a8ba42a7679156ae24c69d7176af
facade/ignitionは開発時のみのphpライブラリのため、本番環境に影響なし。
メモ
・facade/ignitionはlaravel6から採用されたComposerパッケージのエラーメッセージ表示ツール。 ・laravel6の facade/ignition は1.x系。脆弱性指摘は 2.x系。2.x系は、laravel7から利用可能。 ・Connect-CMS - composer.json ・Laravel6 - composer.json ・facade/ignition 1.x - CHANGELOG.md ・1.x系はメンテされているが、今回の脆弱性 CVE-2020-13909 (2系修正コメント:blacklist certain variable names when fixing variable names)は対応されてない。 ・facade/ignition 2.x - CHANGELOG.md ・修正:https://github.com/facade/ignition/compare/2.0.4...2.0.5 ・修正コメント:blacklist certain variable names when fixing variable names
laravel6のIgnition問題 - Qiita
facade/ignition 脆弱性 Details
CVE-2020-13909
critical severity Vulnerable versions: < 2.0.5 Patched version: 2.0.5 The Ignition page before 2.0.5 for Laravel mishandles globals, _get, _post, _cookie, and _env. (機械翻訳)Laravelの2.0.5より前のIgnitionページは、グローバル、_get、_post、_cookie、および_envを誤って処理します。
対応案
https://qiita.com/batch9703/items/c3c11cfaf4e93da0eee9#%E5%AF%BE%E5%BF%9C%E6%96%B9%E6%B3%95 1・Ignitionの代わりにWhoopsを入れる。Ignitionの1.x系が直ったら元に戻す。 2・Ignitionを捨てる 3・Ignitionの代わりにWhoopsを入れる。 ※ Whoopsとは: Laravel6未満で採用されていたエラー表示ツール。 4・Ignitionの1.x系が直るのを待つ。