Amazon Linux 2023 : composer (ALAS2023-2024-539)

high Nessus プラグイン ID 191593

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2024-539 のアドバイザリに記載されている脆弱性の影響を受けます。

- Composer は、PHP 言語の依存関係マネージャーです。影響を受けるバージョンには、Composer の呼び出し中および実行ユーザーのコンテキストで、ローカル作業ディレクトリ内のいくつかのファイルが含まれます。
このように、特定の条件下で任意のコードを実行すると、改ざんされたファイルがあるディレクトリ内で Composer が呼び出されたときに、ローカルの権限昇格を引き起こしたり、ユーザーのラテラルな移動を引き起こしたり、悪意のあるコードを実行したりする可能性があります。composer.phar の自己更新を含むすべての Composer CLI コマンドが影響を受けます。次のシナリオはリスクが高いです。sudo で実行されている Composer、信頼できないプロジェクトで Composer を実行する可能性のあるパイプライン、同じプロジェクトで個別に Composer を実行する開発者との共有環境。この脆弱性は、バージョン 2.7.0 および 2.2.23 で修正されました。パッチを適用したバージョンをできるだけ早く適用することが推奨されます。不可能な場合は、以下の点に対処する必要があります。すべてのユーザーからすべての sudo composer 権限を削除して、root 権限昇格を緩和し、信頼できないディレクトリ内で Composer が実行されないようにします。または、必要に応じて、「vendor/composer/InstalledVersions.php」および「vendor/composer/installed.php」のコンテンツに信頼できないコードが含まれていないかを確認します。
次の方法でも、これらのファイルをリセットできます。```sh rm vendor/composer/installed.php vendor/composer/InstalledVersions.php composer install --no-scripts --no-plugins ``` (CVE-2024-24821)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。