Fedora 43:composer(2026-4308b5fc39)

high Nessus プラグイン ID 320934

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 43 ホストには、FEDORA-2026-4308b5fc39 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

### バージョン 2.10.1 - 2026 年 6 月 4 日

* セキュリティ:エディターを開く際のシェルエスケープを修正しました(#12903)
* セキュリティ:自己更新 --rollback を使用する場合に、復元する前にバックアップ phar 署名を検証します(#12918)
* ソースが推奨インストール方法である場合、dist インストールへのフォールバックも無効にする「source-fallback」を修正しました(#12888)
* ローカル変更を最初にチェックせずに .git dir をワイプする、source -> dist パッケージの更新を修正しました(#12912)
* パラレル認証の失敗時に複数回発生するトークンプロンプトを修正GitHubしました(#12913)
* Composer リポジトリからの警告が一部の状況で 2 回印刷される問題を修正しました(#12907)



----

## バージョン 2.10.0

リリースのハイライトに関する詳細については、[Composer 2.10 リリース発表](https://blog.packagist.com/composer-2-10-release/)をご覧ください。

**完全な変更ログ**

- BC Break/Security:dist/zip インストールが失敗した場合のソースチェックアウトへの自動フォールバックを無効にしました。古い動作に復元する一時的な方法として、新しい source-fallback 構成オプションを導入しました。ただし、 2.11 (#12885)で完全に削除する予定のため、この問題が必要な場合は、弊社にご相談ください()
- BC 中断:監査コンシューマーに対する軽微な中断。終了コードは常に 0(成功)または監査で失敗した場合は 1(#12881) になりました
- セキュリティ:更新/インストールでマルウェアが検出されたパッケージバージョンをブロックしたり、監査付きで報告したりするために依存関係ポリシーを追加しました(#12786)
- セキュリティ:URL の出力フィルタリングを強化し、トークン漏洩の可能性を低減させました(#12882、 #12886)
- セキュリティ:https 要件バイパスを許す可能性があった URL 検証における大文字スキームの処理を修正しました(#12884)
- セキュリティ:クローンまたは更新が失敗した後に git ミラー .git/config に残る git 認証情報を修正しました(2bcbfc3)
- セキュリティ:ext-curlがない場合の安全でない3DES暗号の使用を修正しました(5e71d77)
- セキュリティ:非常に古い 2.2 より前のロックファイルに対して、非対話モードであっても allow-plugins を強制します(#12764)
- 更新コマンドのパッケージ名にワイルドカードがある一時的な --with 制限のサポートを追加しました(#12658)
- コマンドをインストールおよび更新するために --strict-psr-autoloader フラグを追加(#12647)
- ダウンロード失敗のソースフォールバックを無効または有効にするために、source-fallback 構成オプションを追加しました(#12698)
- --require パラメーターを create-project に追加し、インストール時にプロジェクトに新しいパッケージを追加(#12738)
- プラグインごとの各パッケージのクラスマップの再生成を回避することで、プラグインの自動ローディングを最適化しました(#12696)
- PoolOptimizer のメモリ使用率を最適化しました(#12783)
- 最適化されたクラスマップダンプパフォーマンス
- 監査構成の大部分を廃止し、新しいポリシー 1 を優先(#12804、RFC およびアップグレードドキュメントの #12786 を参照してください)
- 実際に更新されたパッケージのみを更新するように更新 --bump-after-update を修正しました(#12733)
- GitHub API 認証エラーがユーザーに見えない問題を修正しました(#12737)
- 制約を解析できない場合に、より明確にエラーレポートを修正しました(#12743)
- ロックファイルが無効な場合に表示される警告を修正しました(#12760)
- SingleCommandApplication スクリプトコマンド wrt autoloading の一貫性のない処理を修正しました(#12758)
- Web SAPI で Composer を実行するときに一部のプラットフォームパッケージの解析が失敗する問題を修正しました(#12735)
- ベンダーディレクトリが存在しない場合に成功コードを返す監査コマンドを修正しました(#12880)

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける composer パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2026-4308b5fc39

プラグインの詳細

深刻度: High

ID: 320934

ファイル名: fedora_2026-4308b5fc39.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/6/12

更新日: 2026/6/12

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:composer, cpe:/o:fedoraproject:fedora:43

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/6/4

脆弱性公開日: 2026/6/4

参照情報