【2024年11月版】Bootstrapのバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
この記事は2024年11月29日に執筆しています。

今回はBootstrapのバージョンと脆弱性への対応状況についてまとめてみたいと思います。

Bootstrapは、WebアプリケーションやWebサイトのフロントエンド開発を効率化するためのオープンソースのフレームワークであり、元Twitter社のエンジニアであったMark OttoとJacob Thorntonによって開発されましたが、現在はコミュニティーベースでの開発・サポート体制となっています。

Bootstrapのアクティブインストール数などの情報は見つかっていませんが、超メジャーフレームワークであるという印象です。

一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。

この記事では、企業のWeb担当の皆様に向けて、Bootstrapの概要並びに、脆弱性及びその対応状況をご紹介することで、Bootstrap自体については安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

Bootstrapとは

Bootstrapは、WebアプリケーションやWebサイトのフロントエンド開発を効率化するためのオープンソースのフレームワークであり、レスポンシブデザインを容易に実現することを目的としており、CSS、JavaScript、およびHTMLテンプレートを組み合わせた構造で構成されています。

現在はBootstrap teamというコミュニティによって開発・サポートが継続されており、定期的にアップデートされ、脆弱性についても迅速に修正されているため、問題なく使用できると考えております。

Bootstrapのバージョン情報に関するポイント

公式サイトに直接的な記載はありませんが、Bootstrapは、通常のセマンティックバージョニングに準拠し、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。

2024年11月29日現在、Bootstrapの最新バージョンは5.3.3です。

通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)は最新パッチバージョンのみを対象としていますが、Bootstrapでは、3系統、4系統、5系統などのメジャーバージョンごとに独立した開発とサポートが行われています。

4系統、3系統、2系統、1系統には既知の脆弱性が存在する可能性がありますので、最新バージョンへのアップデートを実施してください。

Bootstrapのバージョン情報

Bootstrapは、公式ブログで「Bootstrapの各メジャーバージョンは、リリース終了後、少なくとも6ヶ月間のサポートを受け、その後6ヶ月間は重要なバグ修正とセキュリティアップデートを行います」と公表していますが、実際は下記のように、かなり柔軟にサポート期限を変更しています。

1系統から4系統については、サポート期間は終了していますので、5系統の最新バージョンにアップデートをしてください。

2024年11月29日現在での、Bootstrapのバージョン情報は次の通りです。

メジャーバージョン リリース日 アクティブサポート期限 セキュリティサポート期限 最新バージョン
5系統 2021年5月5日 サポート中(未定) サポート中(未定) 5.3.3
(2024年2月20日)
4系統 2018年1月18日 2021年5月5日 2023年1月1日 4.6.2
(2022年7月19日)
3系統 2013年8月19日 2018年10月31日 2019年7月24日 3.4.1
(2019年2月13日)
2系統 2012年1月31日 2013年8月19日 2013年8月19日 2.3.2
(2013年7月27日)
1系統 2011年8月19日 2012年1月31日 2012年4月20日 1.4.0
(2011年11月4日)

※1系統から4系統については、サポート期間は終了しているため、グレーにしています。

Bootstrapの脆弱性情報

Bootstrapの最新バージョンは5.3.3であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、4系統、3系統、2系統、1系統については既知の脆弱性が存在する可能性がありますので、最新バージョンへのアップデートを実施してください。

なお、Bootstrap自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン
CVE-2024-6531
CVE-2024-6531 Detail
CVSS v3
6.4 (警告)
Bootstrap 4.0.0から4.6.2までのバージョン ※Bootstrap 4系統では未修正
CVE-2024-6485
CVE-2024-6485 Detail
CVSS v3
6.4 (警告)
Bootstrap 3.0.0から3.4.1までのバージョン
Bootstrap 2.0.0から2.3.2までのバージョン
Bootstrap 1.4.0
※Bootstrap 3系統では未修正
※Bootstrap 2系統では未修正
※Bootstrap 1系統では未修正
CVE-2024-6484
CVE-2024-6484 Detail
CVSS v3
6.4 (警告)
Bootstrap 3.0.0から3.4.1までのバージョン
Bootstrap 2.0.0から2.3.2までのバージョン
※Bootstrap 3系統では未修正
※Bootstrap 2系統では未修正
CVE-2019-8331
JVNDB-2019-001806
CVSS v3
6.1 (警告)
Bootstrap 4.3.0
Bootstrap 3.4.0までのバージョン
Bootstrap 4.3.1
Bootstrap 3.4.1
CVE-2018-20677
JVNDB-2018-013366
CVSS v3
6.1 (警告)
Bootstrap 3.3.7までのバージョン Bootstrap 3.4.0
CVE-2018-20676
JVNDB-2018-013371
CVSS v3
6.1 (警告)
Bootstrap 3.3.7までのバージョン Bootstrap 3.4.0
CVE-2018-14042
JVNDB-2018-007737
CVSS v3
6.1 (警告)
Bootstrap 4.1.1までのバージョン Bootstrap 4.1.2
CVE-2018-14041
JVNDB-2018-007744
CVSS v3
6.1 (警告)
Bootstrap 4.1.1までのバージョン Bootstrap 4.1.2
CVE-2018-14040
JVNDB-2018-007743
CVSS v3
6.1 (警告)
Bootstrap 4.1.1までのバージョン Bootstrap 4.1.2
CVE-2016-10735
JVNDB-2018-013372
CVSS v3
6.1 (警告)
Bootstrap v4.0.0-alpha
Bootstrap 3.3.7までのバージョン
Bootstrap 4.0.0-beta.2
Bootstrap 3.4.0

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいていますが、CVSS v3が採用される以前の脆弱性情報についてはCVSS v2に基づいています。
※本記事では、CVSS v3ないしCVSS v2にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。ただし、NVDでスコアリングされていない場合には、HeroDevsのスコアを記載しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずJVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

Bootstrapのバージョンアップを継続する体制について

前述のように、Bootstrapは人気のあるフレームワークであり、Web制作の現場では非常にメジャーです。

しかしながら、Bootstrap自体のバージョンアップをしようと思っても、各種専門知識が必要であったり、作業が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Bootstrapについてもノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

Bootstrapを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。