PHP遠程代碼執(zhí)行漏洞(CVE-2019-11043)
2019-10-23 00:00:00
近日���,金山云安全應急響應中心監(jiān)控到 PHP 官方發(fā)布了一則漏洞通告 �����,該通告表明: 使用 Nginx 和 php-fpm 的服務器 �, 在部分配置中 存在遠程代碼執(zhí)行漏洞�����。該配置較為通用 ���, 為避免漏洞被利用造成損失����,建議受影響的用戶盡快修復此漏洞���。
漏洞編號:
CVE-2019-11043
漏洞名稱:
PHP遠程代碼執(zhí)行漏洞
漏洞危害等級:
高危
漏洞描述:
Nginx 上的fastcgi_split_path_info 模塊����,對于帶有%0a 的請求�����,Nginx處理時 會因為遇到換行符 \n 將 PATH_INFO置 為空。而 php-fpm 在處理 PATH_INFO 為空的情況下 �, 存在邏輯缺陷?�?杀还粽呃?導致遠程代碼執(zhí)行��。 9 月 26 日 ��,PHP 官方發(fā)布了漏洞通告��; 10 月 22 日����, 漏洞 PoC在開源社區(qū) 公開 。
影響版本:
使用Nginx 和 php-fpm 的服務器���,采用了如下配置 :
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
修復方案:
1.檢查Nginx 配置文件是否使用上述配置�,如使用�����,建議刪除以下字段:
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
2.在PHP發(fā)布相關補丁時���,及時安裝�����。
參考鏈接:
https://bugs.php.net/bug.php?id=78599
https://github.com/neex/phuip-fpizdam/
北京金山云網(wǎng)絡技術有限公司
2019/10/23