Fedora 24:php-pear-PHP-CodeSniffer(2017-aaf92c483c)
high Nessus プラグイン ID 97680
Language:
概要
リモートのFedoraホストにセキュリティ更新プログラムがありません。説明
**バージョン 2.8.1**- このリリースには、シェルコマンドの不適切な処理に関連するセキュリティアドバイザリの修正が含まれています。
-ほとんどの場合、shell_exec()とexec()を使用しても、ファイル名と構成設定がエスケープされませんでした。
- 適切に細工されたファイル名または構成オプションにより、一部の機能の使用時に任意のコードの実行が可能になります
- 特にサードパーティのコードをチェックする場合は、すべてのユーザーがこのバージョンにアップグレードすることが推奨されます
- たとえば、書き込まなかったライブラリ上でPHPCSを実行した場合など
- たとえば、ユーザーがアップロードしたファイルまたはサードパーティリポジトリでPHPCSを実行するWebサービスを提供する場合
- たとえば、外部ツールのパスをユーザー定義の値で設定できるようにします
- アップグレードできず、サードパーティコードをチェックする場合は、次の機能を使用していないことを確認してください:
- diffレポート
- notify-sendレポート
- Generic.PHP.Syntaxのスニフ
- Generic.Debug.CSSLintのスニフ
- Generic.Debug.ClosureLinterのスニフ
- Generic.Debug.JSHintのスニフ
- Squiz.Debug.JSLintのスニフ
- Squiz.Debug.JavaScriptLintのスニフ
- Zend.Debug.CodeAnalyzerのスニフ
- 報告してくれたKlaus Purer氏に感謝の意を表します
- PHP提供のT_COALESCE_EQUALトークンが、PHPバージョン7.2以前に複製されています
- PEAR.Functions.FunctionDeclarationは、関数宣言内で見つかった空白行に対してエラーを報告するようになりました
- PEAR.Functions.FunctionDeclarationは、関数宣言内の空白行に対してインデントエラーを報告しなくなりました
- Squiz.Functions.MultiLineFunctionDeclarationは、関数宣言内の空白行に対してエラーを報告しなくなりました
- 以前は、1行につき1つの引数のみが許可されることが報告されていました
- Squiz.Commenting.FunctionCommentが、複数行のパラメーターコメントのパディングをより正確に修正するようになりました
- Squiz.Commenting.FunctionCommentは、パイプで区切られたパラメータータイプを適切に修正するようになりました
- 関数の戻り値の型にコメントも含まれている場合、Squiz.Commenting.FunctionCommentが正しく動作するようになりました
- パッチを提供してくれたJuliette Reinders Folmer氏に感謝の意を表します。
- Squiz.ControlStructures.InlineIfDeclarationがelvisオペレーターをサポートするようになりました
- これは実際のPHP演算子ではないため、THENステートメントが空の場合、?と:の間にスペースを強制しません
- Squiz.ControlStructures.InlineIfDeclarationは、レポートするスペースエラーを修正できるようになりました
- バグ#1340を修正しました:STDINファイルのコンテンツが入力されない場合があります
- パッチを提供してくれたDavid Bi?ovec氏に感謝の意を表します
- バグ#1344を修正しました:
PEAR.Functions.FunctionCallSignatureSniffが空白のコメント行に対してエラーをスローします
- バグ#1347を修正しました:PSR2.Methods.FunctionCallSignatureが、修正中に一部のコメントを削除します
- パッチを提供してくれたAlgirdas Gurevicius氏に感謝の意を表します
- バグ#1349を修正しました:
文字列にCR改行文字が含まれていると、Squiz.Strings.DoubleQuoteUsage.NotRequiredメッセージのフォーマットが不適切になります
- パッチを提供してくれたAlgirdas Gurevicius氏に感謝の意を表します
- バグ#1350を修正しました:名前空間を使用する際の無効なSquiz.Formatting.OperatorBracketエラー
- バグ#1369を修正しました:複数行の関数宣言の空行により無限ループが発生します
注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるphp-pear-PHP-CodeSnifferパッケージを更新してください。参考資料
https://bodhi.fedoraproject.org/updates/FEDORA-2017-aaf92c483c
プラグインの詳細
深刻度: High
ID: 97680
ファイル名: fedora_2017-aaf92c483c.nasl
バージョン: 3.5
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2017/3/13
更新日: 2021/1/6
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:php-pear-php-codesniffer, cpe:/o:fedoraproject:fedora:24
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
パッチ公開日: 2017/3/10
脆弱性公開日: 2017/3/10
参照情報
FEDORA: 2017-aaf92c483c