PHP遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-11043)
2019-10-23 00:00:00
近日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到 PHP 官方發(fā)布了一則漏洞通告 �����,該通告表明: 使用 Nginx 和 php-fpm 的服務(wù)器 ���, 在部分配置中 存在遠(yuǎn)程代碼執(zhí)行漏洞�。該配置較為通用 �, 為避免漏洞被利用造成損失,建議受影響的用戶盡快修復(fù)此漏洞���。
漏洞編號(hào):
CVE-2019-11043
漏洞名稱:
PHP遠(yuǎn)程代碼執(zhí)行漏洞
漏洞危害等級(jí):
高危
漏洞描述:
Nginx 上的fastcgi_split_path_info 模塊��,對(duì)于帶有%0a 的請(qǐng)求��,Nginx處理時(shí) 會(huì)因?yàn)橛龅綋Q行符 \n 將 PATH_INFO置 為空�����。而 php-fpm 在處理 PATH_INFO 為空的情況下 �, 存在邏輯缺陷��?����?杀还粽呃?導(dǎo)致遠(yuǎn)程代碼執(zhí)行�。 9 月 26 日 ,PHP 官方發(fā)布了漏洞通告���; 10 月 22 日��, 漏洞 PoC在開(kāi)源社區(qū) 公開(kāi) ����。
影響版本:
使用Nginx 和 php-fpm 的服務(wù)器,采用了如下配置 :
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
修復(fù)方案:
1.檢查Nginx 配置文件是否使用上述配置����,如使用,建議刪除以下字段:
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
2.在PHP發(fā)布相關(guān)補(bǔ)丁時(shí)����,及時(shí)安裝。
參考鏈接:
https://bugs.php.net/bug.php?id=78599
https://github.com/neex/phuip-fpizdam/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2019/10/23