PHP遠程代碼執(zhí)行漏洞(CVE-2019-11043)
2019-10-23 00:00:00
近日����,金山云安全應急響應中心監(jiān)控到 PHP 官方發(fā)布了一則漏洞通告 ���,該通告表明: 使用 Nginx 和 php-fpm 的服務器 ���, 在部分配置中 存在遠程代碼執(zhí)行漏洞。該配置較為通用 ��, 為避免漏洞被利用造成損失���,建議受影響的用戶盡快修復此漏洞�����。
漏洞編號:
CVE-2019-11043
漏洞名稱:
PHP遠程代碼執(zhí)行漏洞
漏洞危害等級:
高危
漏洞描述:
Nginx 上的fastcgi_split_path_info 模塊����,對于帶有%0a 的請求,Nginx處理時 會因為遇到換行符 \n 將 PATH_INFO置 為空�����。而 php-fpm 在處理 PATH_INFO 為空的情況下 ����, 存在邏輯缺陷??杀还粽呃?導致遠程代碼執(zhí)行。 9 月 26 日 ����,PHP 官方發(fā)布了漏洞通告; 10 月 22 日��, 漏洞 PoC在開源社區(qū) 公開 �。
影響版本:
使用Nginx 和 php-fpm 的服務器,采用了如下配置 :
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
修復方案:
1.檢查Nginx 配置文件是否使用上述配置���,如使用��,建議刪除以下字段:
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
2.在PHP發(fā)布相關補丁時�,及時安裝����。
參考鏈接:
https://bugs.php.net/bug.php?id=78599
https://github.com/neex/phuip-fpizdam/
北京金山云網絡技術有限公司
2019/10/23