• PHP 遠程代碼執行漏洞 (CVE-2019-11043)

    發布時間:2019-10-26瀏覽次數:91

    近期,Nginx+php-fpm環境下PHP被曝出存在遠程代碼執行漏洞(CVE-2019-11043)。應該最初在9月14日至18日舉辦的Real World CTF中,國外安全研究員Andrew Danau在解決一道CTF題目時發現,向目標服務器URL發送%0a符號時,服務返回異常,疑似存在漏洞;9月26日,PHP官方發布漏洞通告,其中指出:使用Nginx+php-fpm的服務器,在部分配置下,存在遠程代碼執行漏洞。并且該配置已被廣泛使用,危害較大。該漏洞PoC(就是利用該漏洞的源代碼)已經在10月22日公開。請存在類似PHP環境的信息系統和網站管理員盡快處置,避免出現網絡安全事件。


    以下信息來自:長亭科技的長亭安全課堂公眾號。


    漏洞描述:Nginx上fastcgi_split_path_info在處理帶有%0a的請求時,會因為遇到換行符/n導致PATH_INFO為空。而php-fpm在處理PATH_INFO為空的情況下,存在邏輯缺陷。攻擊者通過精心的構造和利用,可以導致遠程代碼執行。


    影響范圍:

    Nginx+php-fpm的服務器,在使用如下配置的情況下,都可能存在遠程代碼執行漏洞。


     location ~ [^/]/.php(/|$) {

            fastcgi_split_path_info ^(.+?/.php)(/.*)$;

            fastcgi_param PATH_INFO       $fastcgi_path_info;

            fastcgi_pass   php:9000;

            ...

      }

    }


    解決方案:

    在不影響正常業務的情況下,刪除 Nginx 配置文件中的如下配置:

    fastcgi_split_path_info ^(.+?/.php)(/.*)$;

    fastcgi_param PATH_INFO       $fastcgi_path_info;


    參考資料:

    ·https://bugs.php.net/bug.php?id=78599

    ·https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/

    ·https://github.com/neex/phuip-fpizdam


    在线v片免费观看视频,免费网站看v片在线无遮挡,亚洲成片在线观看无码,日本在线v片免费观看视频