リモートの Debian 10 ホストには、dla-3838 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-3838-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Chris Lamb 2024 年 6 月 19 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    パッケージ : composer バージョン : 1.8.4-1+deb10u4 CVE IDs : CVE-2024-35241 CVE-2024-35242 Debian バグ : 1073125 1073126

    PHP の一般的な依存関係マネージャーである Composer に、コマンドラインインジェクションの脆弱性が多数検出されました。

    「install」、「status」、「reinstall」、および「remove」の機能は、悪意を持って作成されたブランチ名を使用する Git または Hg リポジトリで使用すると問題が発生し、任意のシェルコマンドを実行するために悪用される可能性がありました。

    Debian 10 buster では、この問題はバージョン 1.8.4-1+deb10u4 で修正されています。

    お使いの composer パッケージをアップグレードすることを推奨します。

    composer の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください :
    https://security-tracker.debian.org/tracker/composer

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Debian dla-3838 : composer - セキュリティ更新

high Nessus プラグイン ID 200768

バージョン 1.2

バージョン 1.1

バージョン 1.2 Aug 7, 2024, 7:05 AM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202408070705
バージョン 1.1 Jun 21, 2024, 2:16 PM New Plugin Feed: 202406211416