Fedora 40 : composer (2024-9ed24c98cd)

high Nessus プラグイン ID 200747

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 40 ホストには、FEDORA-2024-9ed24c98cd のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

**バージョン 2.7.7** 2024 年 6 月 10 日

* セキュリティ: 悪意のある git ブランチ名によるコマンドインジェクションを修正 (GHSA-47f6-5gq3-vx9c /
**CVE-2024-35241**)
* セキュリティ: 悪意のある git/hg ブランチ名による複数のコマンドインジェクションを修正 (GHSA-v9qv-c7wm-wgmf /
**CVE-2024-35242**)
* ルールの名前空間に一致しないクラスの PSR 違反が非表示になることで、新しい違反が表示される可能性のある問題を修正しました (#11957)
* プラグインがまだベンダーディレクトリにあるものの、ブランチの変更後は不要で許可もされない場合の UX を修正しました (#12000)
* ロックファイルが古い場合、composer.json からの新しいプラットフォーム要件がチェックされない問題を修正しました (#12001)
* 無効な形式の URL フォーマットを使用することでバイパスされる可能性のある secure-http チェックを修正しました (fa3b9582c)
* Linux の Windows 固有のチェックを含む Filesystem::isLocalPath を修正しました (3c37a67c)
* perforce 引数のエスケープを修正しました (3773f775)
* アーカイブの解凍時に zip 爆弾を処理する問題を修正しました (de5f7e32)
* Windows コマンドパラメーターのエスケープを修正し、最適なエンコーディング変換での unicode 文字の悪用を防止しました (3130a7455、04a63b324)
* オートロードキーを削除する「config」コマンドの機能を修正しました (#11967)
*「init」コマンドにおける空の「type」サポートを修正しました (#11999)
* git config で「safe.bareRepository」が「strict」に設定されている場合の git clone エラーを修正しました (#11969)
* PHP <8.1 のネットワークエラーを示す回帰を修正しました (#11974)
* いくつかの警告によるカラーブリードを修正しました (#11972)





Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける composer パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2024-9ed24c98cd

プラグインの詳細

深刻度: High

ID: 200747

ファイル名: fedora_2024-9ed24c98cd.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2024/6/19

更新日: 2024/8/7

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-35242

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:composer, cpe:/o:fedoraproject:fedora:40

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/6/11

脆弱性公開日: 2024/6/10

参照情報

CVE: CVE-2024-35241, CVE-2024-35242