openSUSE 15 セキュリティ更新: php-composer (openSUSE-SU-2022:0132-1)

critical Nessus プラグイン ID 160972

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2022:0132-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Composer は、PHP 言語のオープンソース依存関係マネージャーです。影響を受けるバージョンでは、信頼できない依存関係をインストールするために Composer を実行している Windows ユーザーは、コマンドインジェクションの対象となるため、composer のバージョンをアップグレードする必要があります。その他の OS および WSL は影響を受けません。この問題はコンポーザーバージョン 1.10.23 および 2.1.9 で解決済みです。この問題についての回避策はありません。(CVE-2021-41116)

- Composer は、PHP プログラミング言語の依存関係マネージャーです。Composer コードを使用して「VcsDriver: : getFileContent」を呼び出すインテグレーターには、ユーザーが「$file」または「$identifier」引数をコントロールできる場合、コードインジェクションの脆弱性が存在する可能性があります。これにより、packagist.org での脆弱性につながります。たとえば、composer.json の「readme」フィールドは、任意のデータを許可した場合、「$file」引数経由で hg/Mercurial に、あるいは「$identifier」引数経由で git にパラメーターを注入するベクトルとして使われる可能性があります (Packagist ではありませんが、他のインテグレーターはあり得ます)。Composer 自体は、「$file」/「$identifier」に任意のデータを入れて「getFileContent」を呼び出すことはないため、脆弱性の影響を受けません。知る限りではこれは悪用されておらず、脆弱性の報告から 1 日以内に packagist.org と Private Packagist でパッチが適用されています。(CVE-2022-24828)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。