- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
この記事は2024年11月22日に執筆しています。
今回はLaravel(ララベル)のバージョン情報とサポート期限についてまとめてみたいと思います。
LaravelはLaravel LLCがサポートを継続している、オープンソースのPHPによるWebアプリケーションフレームワークです。
PHP自体も人気のプログラム言語ですが、Laravelはそのフレームワークとして非常に高い評価を得ています(Web制作の現場にいる感覚としてもそうですが、2023年12月に行われたPeerSpotによるPHPフレームワークの市場動向調査でも評価1位となっています)。
実は、フレームワークにも脆弱性が見つかります。
そのため、安全で円滑なWebサイトの運用のためには、Laravelについても最新バージョンへのアップデートが欠かせません。
この記事では、企業のWeb担当者の皆様に向けて、Laravelのバージョン情報とサポート期限についてまとめた上で、Laravelの脆弱性についてもご紹介したいと思います。
少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。
Laravel(ララベル)のバージョンには、通常版とLTS版(Long Term Support)の2種類があります。
2024年11月22日現在、Laravelの最新バージョンは11系統であり、公式がセキュリティサポートをしているバージョンは10系統と11系統のみです。
Laravelのバージョンが8以下の場合には、緊急レベルの脆弱性が存在する可能性があります。
バグフィックスとは、セキュリティパッチの提供はもちろんのこと、軽微な不具合の修正も提供される期間です。
Laravelのバグフィックスには、新機能の追加やAPIの大幅な変更は含まれません。
セキュリティフィックスは、セキュリティパッチが提供される期間のことを指します。
バグフィックス期間が終了後、セキュリティフィックス期間終了までの間は、基本的に重大な脆弱性に関するパッチのみが提供されます。
Laravel通常版のサポート期間は、バグフィックスはリリース日から18ヵ月間、セキュリティフィックスはリリース日から2年間となっています。
これに対し、Laravel LTS版のサポート期間は、バグフィックスはリリース日から2年間、セキュリティフィックスはリリース日から3年間となっています。
Laravelの各バージョンについてのリリース日とサポート期限は次の通りです。
2025年2月4日に、Laravel 10におけるセキュリティフィックス期限が到来しますので、Laravel 11系統最新版へのアップデートを推奨いたします。
なお、2024年11月12日に採番されたCVE-2024-52301(CVSSv4 8.7)に対応するために、セキュリティフィックス期限終了後のバージョンについても、バージョン6までにはパッチが提供されています。
詳細は、GitHubのアドバイザリーデータベースをご確認ください。
古いバージョンをご利用の場合でも、バージョンアップを実施してください。
Laravelのバージョン | リリース日 | バグフィックス期限 | セキュリティフィックス期限 | 最新バージョン |
11 | 2024年3月12日 | 2025年9月3日 | 2026年3月12日 | 11.33.2 |
10 | 2023年2月14日 | 2024年8月6日 | 2025年2月4日 | 10.48.23 |
9 | 2022年2月8日 | 2023年8月8日 | 2024年2月6日 | 9.52.17 |
8 | 2020年9月8日 | 2022年7月26日 | 2023年1月24日 | 8.83.28 |
7 | 2020年3月3日 | 2020年10月6日 | 2021年3月3日 | 7.30.7 |
6 (LTS) | 2019年9月3日 | 2022年9月6日 | 2022年9月6日 | 6.20.45 |
※グレーのバージョンはセキュリティサポートが終了しています。
※Laravel 6 未満については5年以上古いバージョンであるため割愛しております。もし6未満のバージョンをお使いの場合でサポート期限をお知りになりたい場合や、使用になられているバージョンが分からない場合などはこちらのお問合せよりご相談ください。
上記で記載したLaravel 6からLaravel 11に影響を与える脆弱性情報で、当社が把握しているものは次の通りです。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVSS v4 8.7 (緊急) |
・Laravel 11.0.0から11.30.0 ・Laravel 10.0.0から10.48.22 ・Laravel 9.0.0から9.52.16 ・Laravel 8.0.0から8.83.27 ・Laravel 7.0.0から7.30.6 ・Laravel 6.0.0から6.20.44 |
・Laravel 11.31.0 ・Laravel 10.48.23 ・Laravel 9.52.17 ・Laravel 8.83.28 ・Laravel 7.30.7 ・Laravel 6.20.45 |
|
CVSS v3 5.3 (警告) |
・Laravel 8.0.0から9.31.0 | Laravel 9.32.0 | |
CVSS v3 9.8 (緊急) |
・Laravel 8.5.9 | Laravel 8.5.10 | |
CVSS v3 6.1 (警告) |
・Laravel 8.0.0から8.74.0 ・Laravel 7.0.0から7.30.5 ・Laravel 6.0.0から6.20.41 |
Laravel 8.75.0 Laravel 7.30.6 Laravel 6.20.42 |
|
CVSS v3 9.8 (緊急) |
・Laravel 8.70.2までの全てのバージョン | Laravel 8.71.0 | |
CVSS v3 5.3 (警告) |
・Laravel 8.0.0から8.22.0 ・Laravel 7.0.0から7.30.1 ・Laravel 6.0.0から6.20.10 |
Laravel 8.22.1 Laravel 7.30.2 Laravel 6.20.11 |
|
CVSS v3 7.5 (緊急) |
・Laravel 7.0.0から7.23.2 ・Laravel 6.18.34までの全てのバージョン |
Laravel 7.24.0 Laravel 6.18.35 |
|
CVSS v3 7.5 (緊急) |
・Laravel 7.0.0から7.23.1 ・Laravel 6.18.33までの全てのバージョン |
Laravel 7.23.2 Laravel 6.18.34 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。前述のように、本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、注意(0.1~3.9)の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。ただし、NVDでスコアリングがされていない場合には、GitHub, Inc.などのスコアを記載しています。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
Laravelは、PHPで開発されているため、PHPの脆弱性にも影響を受けます。
そこで、Laravelの各バージョンと対応するPHPバージョン、その脆弱性情報へのリンクを掲載しておきます。
Laravelの バージョン |
対応するPHPバージョン | PHPの脆弱性情報一覧へのリンク |
11 | PHP 8.2 - 8.3 | |
10 | PHP 8.1 - 8.3 | |
9 | PHP 8.0 - 8.2 | |
8 | PHP 7.3 - 8.1 | |
7 | PHP 7.2 - 8.0 | |
6 (LTS) | PHP 7.2 – 7.4 |
※グレーのバージョンはPHPのセキュリティサポートが終了しています。
LaravelはPHPのフレームワークとして評価1位とされており、大手企業であってもLaravelを利用しているケースが多いのが現状です。
しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイト・Webシステムの数が増え、あるいはWebサイト等の規模が大きくなるにつれて社内での対応が困難になることがあります。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されている企業であり、Laravel、PHPを得意としています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
Laravelでの開発やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。
2024年11月21日改訂
2024年09月26日執筆