laravel6의 Ignition 문제
개요
시스템 유지 보수의 관계상 JBNDB의 RSS를 항상 체크하고 있지만, 요전에 본 적 없는 심각도의 취약성이 나왔다.
· Laravel 용 Ignition page의 취약점
큐, 9.8! ! ! ? ? ? (MAX10)
이것은 위험하다고 하는 일로 대응했지만, 순진하지 않은 이야기.
Ignition이란?
GitHub
laravel6에서 채택한 Composer 패키지의 오류 메시지 표시 도구.
보기 쉽고 예쁘다.
Laravel6 설치 후 composer.json을 보면 디폴트로 require-dev
안(development 환경)에 기재되어 있다.
대응 방법(실패)
ignition 2.0.5 미만은 영향을 받는다.
최신으로 해본다.
composer.json{
...
"require-dev": {
"facade/ignition": "^2.0.5",
"fzaninotto/faker": "^1.4",
"mockery/mockery": "^1.0",
...
그러나 composer install
에서 다음과 같은 오류가,,,
% composer install
Loading composer repositories with package information
Updating dependencies (including require-dev)
Your requirements could not be resolved to an installable set of packages.
Problem 1
- Conclusion: don't install laravel/framework v6.18.23
- Conclusion: don't install laravel/framework v6.18.22
...
- facade/ignition 2.0.5 requires illuminate/support ^7.0|^8.0 -> satisfiable by illuminate/support[7.x-dev, 8.x-dev, v7.0.0, v7.0.1, v7.0.2, v7.0.3, v7.0.4, v7.0.5, v7.0.6, v7.0.7, v7.0.8, v7.1.0, v7.1.1, v7.1.2, v7.1.3, v7.10.0, v7.10.1, v7.10.2, v7.10.3, v7.11.0, v7.12.0, v7.13.0, v7.14.0, v7.14.1, v7.15.0, v7.16.0, v7.16.1, v7.17.0, v7.17.1, v7.17.2, v7.18.0, v7.2.0, v7.2.1, v7.2.2, v7.3.0, v7.4.0, v7.5.0, v7.5.1, v7.5.2, v7.6.0, v7.6.1, v7.6.2, v7.7.0, v7.7.1, v7.8.0, v7.8.1, v7.9.0, v7.9.1, v7.9.2].
음, 무엇, ,, laravel7 이상만 지원합니까? ?
현재 시스템 운용중에 ignition 자체 development 환경에서 밖에 빌드 되고 있는데 7에 준다고 할까요,,,
대응 방법
다음 중 하나가 타당하지 않을까 생각합니다.
GitHub
laravel6에서 채택한 Composer 패키지의 오류 메시지 표시 도구.
보기 쉽고 예쁘다.
Laravel6 설치 후 composer.json을 보면 디폴트로
require-dev
안(development 환경)에 기재되어 있다.대응 방법(실패)
ignition 2.0.5 미만은 영향을 받는다.
최신으로 해본다.
composer.json{
...
"require-dev": {
"facade/ignition": "^2.0.5",
"fzaninotto/faker": "^1.4",
"mockery/mockery": "^1.0",
...
그러나 composer install
에서 다음과 같은 오류가,,,
% composer install
Loading composer repositories with package information
Updating dependencies (including require-dev)
Your requirements could not be resolved to an installable set of packages.
Problem 1
- Conclusion: don't install laravel/framework v6.18.23
- Conclusion: don't install laravel/framework v6.18.22
...
- facade/ignition 2.0.5 requires illuminate/support ^7.0|^8.0 -> satisfiable by illuminate/support[7.x-dev, 8.x-dev, v7.0.0, v7.0.1, v7.0.2, v7.0.3, v7.0.4, v7.0.5, v7.0.6, v7.0.7, v7.0.8, v7.1.0, v7.1.1, v7.1.2, v7.1.3, v7.10.0, v7.10.1, v7.10.2, v7.10.3, v7.11.0, v7.12.0, v7.13.0, v7.14.0, v7.14.1, v7.15.0, v7.16.0, v7.16.1, v7.17.0, v7.17.1, v7.17.2, v7.18.0, v7.2.0, v7.2.1, v7.2.2, v7.3.0, v7.4.0, v7.5.0, v7.5.1, v7.5.2, v7.6.0, v7.6.1, v7.6.2, v7.7.0, v7.7.1, v7.8.0, v7.8.1, v7.9.0, v7.9.1, v7.9.2].
음, 무엇, ,, laravel7 이상만 지원합니까? ?
현재 시스템 운용중에 ignition 자체 development 환경에서 밖에 빌드 되고 있는데 7에 준다고 할까요,,,
대응 방법
다음 중 하나가 타당하지 않을까 생각합니다.
{
...
"require-dev": {
"facade/ignition": "^2.0.5",
"fzaninotto/faker": "^1.4",
"mockery/mockery": "^1.0",
...
% composer install
Loading composer repositories with package information
Updating dependencies (including require-dev)
Your requirements could not be resolved to an installable set of packages.
Problem 1
- Conclusion: don't install laravel/framework v6.18.23
- Conclusion: don't install laravel/framework v6.18.22
...
- facade/ignition 2.0.5 requires illuminate/support ^7.0|^8.0 -> satisfiable by illuminate/support[7.x-dev, 8.x-dev, v7.0.0, v7.0.1, v7.0.2, v7.0.3, v7.0.4, v7.0.5, v7.0.6, v7.0.7, v7.0.8, v7.1.0, v7.1.1, v7.1.2, v7.1.3, v7.10.0, v7.10.1, v7.10.2, v7.10.3, v7.11.0, v7.12.0, v7.13.0, v7.14.0, v7.14.1, v7.15.0, v7.16.0, v7.16.1, v7.17.0, v7.17.1, v7.17.2, v7.18.0, v7.2.0, v7.2.1, v7.2.2, v7.3.0, v7.4.0, v7.5.0, v7.5.1, v7.5.2, v7.6.0, v7.6.1, v7.6.2, v7.7.0, v7.7.1, v7.8.0, v7.8.1, v7.9.0, v7.9.1, v7.9.2].
다음 중 하나가 타당하지 않을까 생각합니다.
Ignition을 버리다
보기 쉽고 디버깅하기 쉬울지도 모르지만, 프로덕션에서는 사용하지 않고, 필요하다면 PHP 표준의 에러 표시로 보면 좋다.
composer.json에서
"facade/ignition":,
를 제거하고 다시 빌드하십시오. Ignition 대신 Whoops 넣기
composer.json의
"facade/ignition":,
를 삭제하고 "filp/whoops": "^2.7",
를 추가하고 다시 빌드하십시오.※ Whoops이란:
Whoops는 다소 외관과 사용성이 나쁠지도 모르지만, 필요 충분하다고 생각한다.
라고 말해 Whoops조차 취약성 제로라고는 단언할 수 없기 때문에, 문제를 안고 싶지 않다면 삭제해도 되지 않을까.
Reference
이 문제에 관하여(laravel6의 Ignition 문제), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/batch9703/items/c3c11cfaf4e93da0eee9텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)