개요

시스템 유지 보수의 관계상 JBNDB의 RSS를 항상 체크하고 있지만, 요전에 본 적 없는 심각도의 취약성이 나왔다.
· Laravel 용 Ignition page의 취약점

큐, 9.8! ! ! ? ? ? (MAX10)
이것은 위험하다고 하는 일로 대응했지만, 순진하지 않은 이야기.

Ignition이란?

GitHub
laravel6에서 채택한 Composer 패키지의 오류 메시지 표시 도구.
보기 쉽고 예쁘다.
Laravel6 설치 후 composer.json을 보면 디폴트로 require-dev 안(development 환경)에 기재되어 있다.

대응 방법(실패)

ignition 2.0.5 미만은 영향을 받는다.
최신으로 해본다.

composer.json

{
...
    "require-dev": {
        "facade/ignition": "^2.0.5",
        "fzaninotto/faker": "^1.4",
        "mockery/mockery": "^1.0",
...

그러나 composer install 에서 다음과 같은 오류가,,,

% composer install
Loading composer repositories with package information
Updating dependencies (including require-dev)
Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Conclusion: don't install laravel/framework v6.18.23
    - Conclusion: don't install laravel/framework v6.18.22
...
    - facade/ignition 2.0.5 requires illuminate/support ^7.0|^8.0 -> satisfiable by illuminate/support[7.x-dev, 8.x-dev, v7.0.0, v7.0.1, v7.0.2, v7.0.3, v7.0.4, v7.0.5, v7.0.6, v7.0.7, v7.0.8, v7.1.0, v7.1.1, v7.1.2, v7.1.3, v7.10.0, v7.10.1, v7.10.2, v7.10.3, v7.11.0, v7.12.0, v7.13.0, v7.14.0, v7.14.1, v7.15.0, v7.16.0, v7.16.1, v7.17.0, v7.17.1, v7.17.2, v7.18.0, v7.2.0, v7.2.1, v7.2.2, v7.3.0, v7.4.0, v7.5.0, v7.5.1, v7.5.2, v7.6.0, v7.6.1, v7.6.2, v7.7.0, v7.7.1, v7.8.0, v7.8.1, v7.9.0, v7.9.1, v7.9.2].

음, 무엇, ,, laravel7 이상만 지원합니까? ?
현재 시스템 운용중에 ignition 자체 development 환경에서 밖에 빌드 되고 있는데 7에 준다고 할까요,,,

대응 방법

다음 중 하나가 타당하지 않을까 생각합니다.

Ignition을 버리다
보기 쉽고 디버깅하기 쉬울지도 모르지만, 프로덕션에서는 사용하지 않고, 필요하다면 PHP 표준의 에러 표시로 보면 좋다.
composer.json에서 "facade/ignition":,를 제거하고 다시 빌드하십시오.

Ignition 대신 Whoops 넣기
composer.json의 "facade/ignition":,를 삭제하고 "filp/whoops": "^2.7",를 추가하고 다시 빌드하십시오.
※ Whoops이란:

Laravel6 미만에서 채용되고 있던 에러 표시 툴.

과거에 취약점은 신고 되었지만 지금은 없습니다.

Whoops는 다소 외관과 사용성이 나쁠지도 모르지만, 필요 충분하다고 생각한다.
라고 말해 Whoops조차 취약성 제로라고는 단언할 수 없기 때문에, 문제를 안고 싶지 않다면 삭제해도 되지 않을까.