Fedora 26:php-pear-PHP-CodeSniffer(2017-b85d51cc47)
high Nessus プラグイン ID 101709
Language:
概要
リモートのFedoraホストにセキュリティ更新プログラムがありません。説明
**バージョン 3.0.1**- このリリースには、シェルコマンドの不適切な処理に関連する**セキュリティアドバイザリ**の修正が含まれています。
- 適切に細工されたファイル名により、--filter=gitmodifiedコマンドラインオプションの使用時に任意のコードの実行が可能になります
- 特にサードパーティのコードをチェックする場合は、バージョン3を使用するすべてのユーザーがこのバージョンにアップグレードすることが推奨されます
- たとえば、書き込まなかったライブラリ上でPHPCSを実行した場合など
- たとえば、ユーザーがアップロードしたファイルまたはサードパーティリポジトリでPHPCSを実行するWebサービスを提供する場合
- たとえば、外部ツールのパスをユーザー定義の値で設定できるようにします
- アップグレードできず、サードパーティコードをチェックする場合は、Gitが変更されたフィルターを使用していないことを確認してください:
- このアドバイザリは、PHP_CodeSnifferバージョン2には影響を与えません。
- レポートとパッチを提供してくれたSergei Morozov氏に感謝の意を表します。
- コマンドラインの引数は現在、すべての場合において、ruleset.xmlファイルで指定されている引数をオーバーライドまたはマージします
- PHPCSは、ファイルが見つかったらすぐにphpcs.xmlの検索を停止し、現在のdirに最も近いファイルを優先します
- --stdin-path CLIオプションの欠落しているヘルプテキストを--helpに追加しました
- --file-listおよび
--bootstrap CLIオプションの欠落しているヘルプテキストを--helpに再度追加しました
- Runner:: runPHPCS()およびRunner:: runPHPCBF()は直接終了せずに、終了コードを返すようになりました(リクエスト #1484)
- Squiz規格は現在、デフォルトで短い配列構文を強制します
- オートローダーが、class_alias()で作成されたクラスで適切に動作するようになりました。
- オートローダーは、installed_paths config変数のすべてのディレクトリ内でファイルを検索するようになりました
- これにより、含まれているカスタムコーディング標準の中のファイルを手動で必要とせずに自動ロードできます
- オートローダーがnon-sniff helperファイルをロードするために使用する、カスタムコーディング標準の名前空間を指定できるようになりました
- また、オートローダーによって使用され、他の規格が規格のスニフを直接含むようにします
- 値をsniffファイルに使用している名前空間プレフィックスに設定します(\Sniffs\まですべて)
- たとえば、名前空間の形式がMyProject\CS\Standard\Sniffs\Categoryの場合、名前空間をMyProject\CS\Standardに設定します
- 省略すると、名前空間は、ruleset.xmlファイルを含むディレクトリ名と同じであると想定されます
- 名前空間が、ruleset.xmlファイルのrulesetタグで設定されます
- たとえば、ruleset name = 'My Coding Standard' namespace = 'MyProject \ CS \ Standard'
- ルールセットが、新しいautoloadタグを使用してカスタムオートローダーを指定できるようになりました
- ルールセットの処理中、かつカスタムsniffが含まれる前のautloaderが含まれます
- boostrapファイルが含まれるかなり前に、ヘルパークラスの非常にカスタムな自動ロードを可能にします
- PEAR標準にSquiz.Commenting.DocCommentAlignmentが含まれるようになりました
- 以前は複数の行でコメントを分割していましたが、整列していませんでした
- カスタム標準の独自のスニッフィングからメッセージを排除すると、全体のスニッフが除外される問題を修正しました
- これにより、一部のPSR2エラーが過少報告されていました
- バグ#1442を修正しました:T_NULLABLE検出が、null許容パラメーターと戻り値のヒントに対して機能しない場合があります
- バグ#1447を修正しました:phpunit構成ファイルでユニットテストを実行すると、テストパッケージが破損します
- 不明な引数が正しく処理されていませんでしたが、現在は $config-> unknownに保存されます
- バグ#1449を修正しました:Generic.Classes.OpeningBraceSameLineは、ブレースを開く前にコメントを検出しません
- パッチを提供してくれたJuliette Reinders Folmer氏に感謝の意を表します。
- バグ#1450を修正しました:同じディレクトリ名を持つinstalled_pathの下にあるコーディング標準がエラーをスローします
- パッチを提供してくれたJuliette Reinders Folmer氏に感謝の意を表します。
- バグ#1451を修正しました:Sniffの除外/制限は、PHP_CodeSniffer NSを使用しない限り、カスタムsniffでは機能しません
- バグ#1454を修正しました:Squiz.WhiteSpace.OperatorSpacingが、短い三項演算子のいずれかの側でスペースをチェックしていません
- パッチを提供してくれたMponos George氏に感謝の意を表します。
- バグ#1495を修正しました:無効なインストール済みパスを設定すると、すべてのコマンドが破損されます
- バグ#1496を修正しました:Squiz.Strings.DoubleQuoteUsageが修正時にドル記号をエスケープ解除しません
- Micha?氏に感謝の意を表しますパッチ用Bundyra
- バグ#1501を修正しました:インタラクティブモードが破損しています
- バグ#1504を修正しました:PSR2.Namespaces.UseDeclarationにより、末尾コードのない使用ステートメントの修正がハングします
注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるphp-pear-PHP-CodeSnifferパッケージを更新してください。参考資料
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b85d51cc47
プラグインの詳細
深刻度: High
ID: 101709
ファイル名: fedora_2017-b85d51cc47.nasl
バージョン: 3.5
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2017/7/17
更新日: 2021/1/6
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:php-pear-php-codesniffer, cpe:/o:fedoraproject:fedora:26
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
パッチ公開日: 2017/6/19
脆弱性公開日: 2017/6/19
参照情報
FEDORA: 2017-b85d51cc47